軟件合法合規合標性評測技術體系的應用

侯殿君

摘 要軟件合法合規合標評測技術體系的總體目標是在互聯網+發展背景下，利用軟件評測技術與法律法規的深度跨界融合，促進軟件系統合法合規合標、安全、穩定、有效、持續運行。實現軟件合法合規合標性評測服務及人才與各行各業中小企業的自由對接，降低客戶面臨的軟件系統安全風險，促使信息產業的健康發展。

【關鍵詞】合法 合規 合標 評測技術體系

1 軟件評測的方法與技術綜述

軟件合法合規合標性評測以國家法律法規為依據，通過軟件測試技術驗證軟件產品或信息系統的合法、合規、合標性，驗證其的安全性、可靠性、完整性、時效性，尤其是數據來源和數據本身的真實性和準確性，從而有效判斷其可信程度。

伴隨著互聯網技術發展和軟件遍布到各行業，各種違法違規、數據真實性、可靠性、安全性等問題也愈加嚴重。為保護跨界帶來的經濟和社會效益而創造出的新的生態環境，有必要將軟件合法合規性檢測和軟件評測技術有效結合，面向企業提供線上線下相結合的法律服務。通過軟件合法合規合標評測技術體系建設實現有效整合軟件法律法規、評測技術來為企業提供線上線下的高效法律服務，以營造良好的軟件產業的法制環境氛圍。

軟件合法合規合標評測技術體系的總體目標是在互聯網+發展背景下，利用軟件評測方法和技術與法律法規的深度跨界融合，促進軟件系統合法合規、安全、穩定、有效、持續運行。通過對軟件系統的合法合規性、資產完整性、信息安全性、系統高效性、內控有效性進行評測、咨詢，降低客戶面臨的系統安全風險，促使信息產業的健康發展。軟件合法合規合標評測技術體系的主要任務是面向企業線上線下完成對軟件的鑒證、促進和咨詢。

軟件評測方法和技術與法律事務深度融合，建設互聯網時代的軟件合法合規合標評測技術體系?？偨Y和匯總軟件合法合規性評測評估項目的實踐經驗，進行深入分析和挖掘，設計開發并推廣軟件合法合規性評測的共性技術，以及與軟件相關的國家法律法規及相關標準的服務庫建設。

對軟件合法合規性評測相關的評測方法和技術進行分解，匹配測試資源，應用虛擬技術及網絡搭建環境，在使用現有硬件設備資源的基礎上，提高并發技術服務的數量，為各行各業提供真正有效的遠程評測服務。針對當前的技術趨勢，研究電子商務平臺、移動互聯網的評測技術，深入研究嵌入式、物聯網軟件合法合規性評測測試技術。實現軟件合法合規合標性評測服務及人才與各行各業中小企業的自由對接。

2 軟件合法合規合標評測技術體系的構建

軟件合法合規合標評測技術體系主要研發內容包括軟件評測門戶、軟件法律法規服務庫、評測管理系統、一站式協同評測服務體系四大功能模塊子系統。軟件評測門戶包括風險評估、評測計劃、資源管理、評測項目管理、問題整改跟蹤等；軟件法律法規服務庫包括服務庫管理和檢索管理；評測管理平臺主要包括評測方法管理、評測技術管理、標準管理、定級管理、滲透測試系統等。一站式協調評測服務體系主要包括合法合標性評測、登記測試、驗收測試、鑒定測試、確認測試、咨詢服務等。

軟件合法合規合標評測技術體系技術功能架構圖如圖1所示。

主要研發內容包括軟件評測門戶、軟件法律法規服務庫、評測管理系統、一站式協同評測服務體系四大功能模塊子系統。軟件評測門戶包括風險評估、評測計劃、資源管理、評測項目管理、問題整改跟蹤等；軟件法律法規服務庫包括服務庫管理和檢索管理；評測管理平臺主要包括評測方法管理、評測技術、標準管理、定級管理、滲透測試。一站式協調評測服務體系主要包括合法合標性評測、登記測試、驗收測試、鑒定測試、確認測試、咨詢服務等。

（1）建立線上線下相結合的一站式協同評測服務平臺，包括合法合規性評測、登記測試、驗收測試等，提高軟件評測的協調服務能力。

（2）通過把軟件評測的方法和技術作為檢測方式，以及軟件評測技術與法律事務深度跨界融合，建立起互聯網+發展背景下的軟件研發、應用的合法合規的新生態。

（3）利用檢驗檢測大數據智能挖掘與分析技術，探索檢測已有大量的涉及軟件方面的法律法規，建立起軟件評測所依據的軟件法律法規標準服務庫。

軟件合法合規合標評測技術體系與具體軟件評測技術和方法相結合，例如源代碼安全掃描技術，對系統開發過程中的編碼、測試、交付驗收各階段系統源代碼進行安全審計檢測，利用五大分析引擎對應用軟件的源代碼進行靜態的分析，從而對源代碼安全漏洞進行定級，給出源代碼安全漏洞分析報告，提供軟件安全質量方面的真實狀態信息。例如對某軟件企業的軟件樣品進行代碼掃描，共掃描250個文件，執行20903行代碼，發現210個安全漏洞，缺陷密度為10.046Defects/KLOC，最終作為合標評測的重要依據。

3 結語

通過軟件合法合規性評測方法和技術與法律事務深度融合，借助各地的軟件評測機構建設“軟件合法合規合標評測技術體系”，滿足中小企業隨時、隨地進行軟件合法合規性評測工作。為客戶提供便捷的屬地化軟件合法合規合標性評測服務等服務，把電子商務、移動互聯、嵌入式、物聯網軟件合法合規性評測新技術應用推廣到全國各地，營造出健全的互聯網時代的軟件法制環境和意識，為互聯網時代的軟件產業合法合規的健康發展做出貢獻。

作者單位

天津市軟件評測中心 天津市 300384