“让开发者爱上安全测试”系列之 “源码安全测试”终级玩法

前言

对于任何一个企业，公司或者机构来讲，在企业内部做成一件事情，只是通过购买一套工具或采用一项技术是绝对不可能完成的。软件安全测试这件事儿，也是如此。要想能够成功地开展软件安全测试工作，真正地达到提高软件源代码安全性和质量性，只是采用某一个测试产品或者工具，不考虑如何真正地实施这个产品，形成一个行之有效的测试制度或者体系，那么软件安全测试这件事儿，算是还没有想明白，根本“玩儿”不起来。

盲目地使用工具来开展软件安全测试工作，不但不能解决软件安全问题，还会惹来一堆的麻烦。结果就会以“三天打鱼，两天晒网”，敷衍了事地执行下去，最终就不了了之了，花费巨额经费买来的软件测试工具也就只能压箱底儿或者当摆设了。

一、如何“玩儿”转软件安全测试？

那么如何在企业中有效地开展软件源代码安全测试呢？我们根据为多家客户的具体实施经验，总结得出建立一套行之有效的软件安全测试“玩儿”法。它能以最小的投入，最大的效率地提升软件安全性，并能最大程度地解决目前所面临的问题。我们将这个“玩儿”法进行了系统性的梳理，在这里可以分享给大家。

我们从多家企业开展软件安全工作的经验中总结出，玩转软件安全测试必须从三个方面入手，共同建设。这三个方面分别是：制度建设、团队建设和技术建设。三者相辅相承，相互牵动，缺一不可。其中：

• 制度建设：俗话说：“无规矩不成方圆”。制度建设在企业部门重多、关系复杂的环境中显得尤为的重要。这里我们需要通过管理层建立权威的软件安全测试制度；
• 团队建设：无论做什么事情，人永远是最重要的。如果有一个良好的软件安全测试团队，通力配合，就可达到预期的效果。软件安全团队建设一定要角色分配清楚，权责分明，再给其良好的软件安全技术培训与教育就可以了；
• 技术建设：“欲先成其事，必先利其器”。只有良好的软件安全测试技术才能使“制度”顺利实施。这里我们采用先进的软件安全测试工具及其最佳的企业整体解决方案，并结合最佳使用方法，以及个性化的定制服务来为我们的体系建设奠定坚实的技术基础。

二、如何“落地”软件安全测试？

推荐用户按照我们安全专家总结出来的“一个中心，两个基本点”的安全管理理念，建立符合用户自身特点的“GATE+”安全测试管理体系。即：该体系以安全测试产品为基础，以“软件源代码安全测试标准”为中心，以开发者测试和开发者安全编码为两个基本点，共同建设，协同发展。

该体系充分实现了“以人为本”的管理思想，解决了软件安全测试工作中各个角色人员的老大难的问题，如：管理人员的“管理难”——没有安全标准；测试人员“测试难”——没有好工具；开发人员“修复难”——没有编码指南。该体系可以将这些问题一一击破，确保每一个环节都能够很好地结合在一起，真正实现软件安全开发生命周期。

根据上图所示，软件安全测试的三个方面建设就可以比较清楚地开展了：

制度建设： 建立“GATE+”的安全测试管理体系，制定出《软件安全测试管理规范》以及《软件安全测试标准——TOP10/20》设计出《软件安全测试流程》以及《软件安全编码规范》等相关管理技术文档。解决”怎么测试”和“测试什么”的问题。

人员建设：包括安全管理人员，安全测试人员，安全开发人员三个角色，在角色划分权责分明后，最重要的就是要用把他们”武装”起来。对他们进行专业的软件安全培训，针对不同的角色、岗位进行专业培训。使之成为有用的”战士“。解决了”看不懂漏洞“、”不会审计漏洞“和”不会修复漏洞“的问题。

安全技术： 基于思客云”找八哥“系统，帮助用户搭建企业”软件安全测试私有云“，真实地落实各项管理制度和标准，并实现”全自动化”测试和开发者测试的测试能力。完成用户最大测试力度和最大测试频度的技术支撑，尽而实现“敏捷安全测试”和“快速迭代”。解决了“没人测”、“不会测”以有“测试很麻烦”和“测试后置”的一系列技术问题。

三、这个“玩儿”法有啥好处？

基于以上的软件测试三个方面的建设，我们相信一定能够帮助用户在企业内真正实现软件安全测试这项“不简单”的工作。其中采用思客云公司的“找八哥”安全测试系统搭建用户的测试私有云这一项技术，能给用户带来的价值就有如下几个方面：

节省90%软件License成本：

一机多用，多机集群，用户并发，私有化云的部署使用模式，不再需要任何测试工具的license扩展成本。

节省90%测试人力成本：

机器“无人值守”式测试，不再需要专职的安全测试人员，更不需要外包测试人员；也不再需要组织安全人员学习、培训安全测试等相关工作。

节省90%修复漏洞成本：

开发者测试，安全测试提前到编码的初期阶段，极早地发现漏洞，修复漏洞成本极低。

节省90%沟通时间成本：

WEB方式查看漏洞信息，审计安全漏洞信息，多部门、多角色协同工作，沟通极为简单、工作高效。

节省90%的管理成本：

平台化、体系化的管理平台。企业安全测试标准、安全测试基线要求一键直达。管理制度工具化，各项工作数据化展现。使得安全测试工作内容：“看得见”、“理得清”、“可管理”、“可统计”。

结束语

通过以上整体的软件源代码安全测试体系建设，可以有效地组织各个部门相关人员在企业内部开展软件安全测试和保障工作。让“开发者爱上安全测试”，“让软件安全测试流行起来”！

作者：思客云