新闻中心
NEWS
推进可信数字化,以评测助力软件质量提升!
日期:2022年09月19日

    在数字化浪潮下,个人信息泄露、账号资金失窃、业务服务瘫痪等事件层出不穷,一次次挑战着公众对数字化建设的信任,可信数字化逐渐成为技术领域重点关注的问题。

    9月15日,由浙江省软件行业协会主办,浙大网新旗下子公司网新恒天软件有限公司协办的“推进可信数字化——安全赋能软件,护航质效升级”专题研讨会在杭州西溪天堂开展,网新恒天软件评测中心主任郭微受邀分享,活动现场来自安全行业的专家齐聚一堂,共同探讨针对可信数字化的思考与质量升级手段。

    高质量的软件系统是数字化转型成功的关键。软件与业务、数据相结合,业务才能跑起来,数据能流通才具有价值。在国家“十四五”规划的大背景下,可信数字化成为国家发展的必然趋势。

    现场,郭微通过分享西安一码通两次崩溃、拼多多被薅羊毛导致巨额损失、北京健康宝遭网络攻击三个典型案例,说明了软件系统设计中功能安全缺陷可能造成的严重后果,证实了高质量软件系统的重要性。

    郭微提到,软件质量由下往上分为代码质量、应用质量、使用质量等,国家标准(GB/T25000.51)对软件质量的要求分为8个方向:兼容性、功能性、性能效率、易用性、可移植性、信息安全性、可靠性、维护性,评测过程需要理解系统的质量特性,从而提升软件系统的质量。


哪些系统需要满足国家标准/要求呢?

    《中华人民共和国政府采购法实施条例》规定,大型或复杂的政府采购项目,应当邀请国家认可的质量检测机构参加验收工作。地方政府也出台相应的规定,《浙江省电子政务云计算平台管理办法》提到,(政务云)信息系统安全等级保护3级以上的重要应用系统,须提供由中国合格评定国家认可委员会(CNAS)认可的第三方评测机构出具的软件性能及信息系统安全测试报告。

    而这些测试报告,也将判定电子政务工程项目应用软件是否符合研发合同,相关建设内容是否符合软件需求中的规定,以此作为项目建设单位验收参考标准。



    当然,为了应对验收,部分场景下也衍生出了一些“快餐式”测试,短期内完成了业主方的验收交付,但是为未来系统的生产运行埋下了很大的隐患,例如:生产环境容易引发安全、性能等方面的事件,在项目终身追责制下,监管层面对此也有严格的要求。

    在评测中心服务过程中,就遇到一个非常典型的案例:

    某大型客户有非常完善的功能、性能测试人员配备,然而在开发过程中,由于缺乏安全开发的意识,致使其多个系统中出现SQL注入、硬编码、弱密码等问题,导致整个系统的安全性较差,评测中心在帮助客户解决问题的同时也成为该客户信任的合作伙伴,为其提供长期的质量咨询、第三方评测服务。


网新恒天软件评测中心

    具备中国合格评定国家认可委员会(CNAS)的实验室认可证书,团队拥有18年测试经验,近700名专业测试人员,软件评测案例500余个,其中数字政府相关评测项目百余个,涉及城市大脑、智慧人社、政务云、智慧医保、智慧文旅、智慧交通、智慧气象等多个领域,出具专业&权威的第三方软件评测报告,帮助客户提升软件系统质量、传递质量信任,共同推进可信数字化!