【摘 要】本文結合對應用系統設計、開發、測試、測評等建設過程的分析，總結了外包應用系統開發中存在的安全保密風險，并根據應用系統安全建設和測評經驗，結合安全開發生命周期等安全開發管理理念，研究了應用系統外包開發中源代碼安全風險管控技術和策略，以期從源頭減少應用系統自身安全漏洞和風險，提升信息系統安全防御水平。

【關鍵詞】應用系統 外包開發 安全保密風險

1 引言

應用系統是信息系統中信息分發、傳遞、共享的主要工具，同時是業務管理的數字化基本設施，在信息網絡中處于信息傳遞的核心。隨著企業數字化轉型的不斷推進，各單位為滿足各種業務需要建設了各類業務應用系統，如財務系統、人力管理系統、項目管理系統等。但由于應用系統開發建設具有專業性、復雜性，一般需要專業的軟件開發團隊進行建設，而大部分單位不具備自行開發應用系統的能力，應用系統外包開發成為主流的建設方式。隨著網絡攻防技術的發展，越來越多的安全漏洞在各類應用系統中被發現，根據Forrester調研，僅Web類安全漏洞就占2021年發現安全漏洞的39%，由此可見應用系統已成為網絡攻防雙方的主戰場之一。因此，如何管控外包開發應用系統源代碼安全漏洞，從根本上有效減少安全漏洞，保障應用系統安全成為各單位信息化和網絡安全管理部門面臨的重要議題。

2 外包開發中的源代碼安全風險分析

在對外包應用系統進行測評的過程中，存在以下風險。

（1）現行相關標準對安全要求較高，但對開發廠商的安全開發能力、開發質量缺少直觀的考核和選擇指標，導致部分開發廠商不注重安全開發能力的建設和開發質量的提升，一些應用系統的開發過程管理混亂，缺少源代碼安全的管理與技術措施，甚至在互聯網中開展代碼管理，極易引入安全風險，部分應用系統安全質量沒有保障。

（2）在編程實現階段，隨著開發技術的迅猛發展，部分中小廠商或建設使用單位為追求新技術應用，開發中大量采用未經安全檢測的開源框架、開源組件等第三方代碼進行快速迭代開發，對使用了哪些開源組件或開源組件的哪個版本并不了解。建設使用單位對使用開源組件、開源代碼的情況缺少要求和限制，給應用系統帶來不可控的安全風險。

（3）在驗收和上線運行階段，建設使用單位主要對應用系統業務功能進行測試驗收，缺少對源代碼安全漏洞、業務邏輯漏洞等的安全性測試，缺少開發人員參與的安全加固，往往不知道是否存在安全漏洞，對已發現的安全漏洞不知如何修復，導致應用系統“帶病上線”“帶病運行”。

3 對外包開發的安全風險管控措施實踐

為保障應用系統源代碼安全質量，微軟提出從安全管理角度指導應用系統開發過程的安全開發生命周期（Security Development Lifecycle，SDL）理念，經過世界主流廠商多年實踐和不斷改進，發展成為安全—軟件開發生命周期（Secure Software Development Lifecycle，S-SDLC）等方法論，其理念是將安全與軟件開發全過程融合，通過在軟件開發生命周期中每個階段執行必要的安全實踐，使安全風險最小化、安全威脅最少化。SDL的實施在一定程度上降低了發布運行后安全漏洞的數量，被各大軟件廠商廣泛采用。

但是，SDL、開發安全運維一體化（DevSecOps）等安全開發理念都主要是針對開發廠商的實施或實踐方法，對應用系統建設使用的甲方單位，特別是在外包開發的場景下，甲方單位也迫切需要介入整個安全開發過程中。本文利用SDL安全開發理念，從建設使用單位的角度，針對外包開發全流程進行代碼安全管控策略設計和技術保障措施研究，通過參與關鍵流程活動，協助開發出既符合安全要求又盡可能減少網絡安全漏洞的應用系統。本文設計的建設使用單位針對外包開發過程中的安全實踐措施和策略架構如圖1所示。

圖1 外包開發過程中的安全實踐措施和策略架構

3.1 加強開發廠商的選擇與安全培訓

外包應用系統開發時，在廠商具有相應資質的基礎上，建議應用系統開發管理的業務部門優先選擇軟件開發質量保障能力等級較高的企業，利用其更為規范的過程管理、版本管控、漏洞管理等制度和技術措施提高應用系統開發質量。

建設使用單位組織或參與開發廠商統一舉行的安全防范意識培訓，對系統設計、開發、部署、售后、運維和業務使用等各類人員進行必要的安全培訓或再培訓，宣傳法律法規和標準知識、網絡安全防范技能，建立常見安全漏洞的源代碼防范措施、范例、框架，幫助相關人員特別是設計、開發人員提升安全開發能力。

3.2 開展安全保密風險分析

建設使用單位的業務使用人員、安全保密人員介入業務安全需求分析，和開發人員結合安全標準規范，從安全標準和最佳實踐2個方面分析得出業務功能所需安全防護要求。安全需求分析工作的主要目的是為應用程序設計在計劃運行環境中的運行確定最低安全要求。同時，在需求分析文檔中包括安全保密協議相關內容：加強源代碼安全管理，防止因源代碼泄露、安全防范意識不足可能造成的安全風險，預防安全漏洞、后門；禁止應用系統開發相關文檔、源代碼等傳輸到互聯網；禁止預置和保留隱藏的管理員賬號、開發者賬號、測試賬號；禁止預置遠程管理后門、遠程升級后門、廣告推廣、漏洞和非授權的數據收集、傳輸等惡意功能。

3.3 強化安全防護功能設計與編碼

建設使用單位的安全保密人員介入系統的安全設計階段，與開發人員一起，根據業務安全需求分析，制定安全控制和防護措施，減小攻擊面，防范常見安全漏洞、安全攻擊方式，抵御或降低安全威脅。安全設計實踐包括特權分離、數據驗證、認證管理、會話管理、授權管理、日志審計、異常處理、配置管理、數據保護等安全功能設計，也包括對結構化查詢語言（SQL）注入、反序列化、權限提升、文件上傳、任意文件下載等安全漏洞的防范功能設計。編碼實現時，需要考慮將要使用的開源代碼、組件、模塊、庫和框架的安全性，禁止使用存在安全風險的軟件成分。

存量應用系統新增功能、系統升級也需要編制新增功能部分的安全設計方案，對新增功能的安全威脅、安全功能設計和對原應用系統安全功能的影響進行深入分析。

3.4 完善代碼安全測試與驗收

建設使用單位在對應用系統業務功能進行驗收測試時，先由業務使用團隊和安全保密團隊開展安全功能合規性測試，根據業務功能、安全要求設計安全測試用例進行測試，測試用例需要涵蓋安全需求、安全設計中各項功能。

在安全功能測試基礎上，建設使用單位安全團隊應開展源代碼安全性測試，從源頭把控應用系統安全風險。源代碼安全性測試一般采用自動化工具來降低人工檢測的時間消耗和成本投入，提高檢測效率，常見工具包括靜態安全測試（SAST）、動態安全測試（DAST）、交互式安全測試（IAST）、模糊測試（FUZZ）和軟件成分分析（SCA）幾類技術。根據經驗，建議配備交互式安全測試IAST工具和軟件成分分析SCA工具。IAST技術融合了SAST技術和DAST技術的特征，通過在應用系統中部署測試插樁，分析應用系統運行時的源代碼，檢查業務數據傳播路徑，分析數據傳播過程中的各功能代碼的處理措施，根據已知安全漏洞發生的數據處理模式、發生場景分析可能存在的安全風險，在完成功能測試的同時自動開展并完成源代碼層的安全性分析測試。相較于SAST、DAST和FUZZ，IAST測試工具具有對測試人員安全技能要求低、測試結果準確性高、測試過程速度快的優勢，特別適合建設使用單位業務使用團隊和安全團隊等非專業開發人員用于開展源代碼安全性測試。

為應對開源組件、開源代碼引入的安全風險，SCA工具掃描分析應用系統的源代碼和使用的模塊、庫、框架、程序包等代碼文件，提取代碼指令、代碼結構、控制流圖、函數調用關系等特征，再對特征進行識別和分析，獲得各個部分的關系，然后根據已知的安全漏洞特征庫、威脅情報庫，識別可能潛藏的、存在的安全風險，避免開源代碼、庫、模塊的使用引入安全漏洞。

3.5 開展安全上線

應用系統上線試運行時，安全保密團隊應會同開發團隊開展安全配置加固，先梳理業務應用系統使用的運行環境、語言環境、開源組件等，并建立系統成分清單，清單包括但不限于操作系統、數據庫、運行中間件、運行容器及編排管理與調度組件、大數據組件、人工智能組件、開發框架、消息系統組件、數據庫連接和管理組件、語言運行庫、外部函數庫/組件、開源組件等代碼運行組件清單，詳細記錄各項名稱、版本號，便于開展零日（0Day）漏洞預警排查和漏洞檢測與應急響應。

應用系統完成部署后，建設單位定期利用漏洞掃描工具進行安全漏洞檢測，或開展人工滲透測試發掘潛在漏洞，對發現的源代碼缺陷導致的安全漏洞通知開發人員核實整改漏洞。加強應用系統升級管理，在大版本、小版本升級和應用系統間集成、漏洞修復等工作后，按照以上安全需求分析、安全設計與編碼、安全測試的過程對變更部分源代碼進行安全分析和測試，必要時對應用系統整體重新進行安全測試。

4 結語

應用系統在供應鏈、安全設計、代碼編程實現、上線運行等全生命周期中面臨各種各樣的風險，只有加強應用系統源代碼安全管控，才能從源頭解決應用系統自身面臨的安全風險。本文從建設使用單位的角度，研究應用系統外包開發建設中的源代碼安全防護技術，針對安全需求分析、安全設計與實現、安全測試、升級管控等各階段設計源代碼管控策略和措施，有助于減少應用系統建設過程中源代碼引入的安全風險，提升應用系統的安全防護水平。同時，該實踐經驗對應用系統自行開發、開源產品自行部署、商業產品購置實施等情形具有一定借鑒意義。

（原載于《保密科學技術》雜志2023年2月刊）