安般科技发布“质量门禁”解决方案 助力证券业软件安全

 此前，中国证券业协会组织起草了《网络和信息安全三年提升计划(2023 -2025)》征求意见稿（以下简称《安全提升计划》），并开始向券商征求意见。
 
近年来，在行业数字化加速发展和大数据、云计算、区块链和人工智能等新技术应用不断深入的大背景下，行业网络和信息安全运行态势总体平稳。但随着证券公司业务与技术加速融合，网络和信息安全管理日趋复杂，信息系统建设任务明显增加，上线变更操作较为频繁，行业网络和信息安全管理能力面临更大挑战。
 
2022年上半年，证券行业网络安全事件发生较为频繁，对资本市场的安全平稳运行造成较大冲击。行业整体信息技术投入不足、信息系统架构落后、信息技术管理能力欠缺，已经成为长期制约行业信息系统安全的主要问题。
 
《安全提升计划》重点解读
 
《安全提升计划》聚焦证券公司网络和信息安全能力领域普遍存在的基础性和深层次问题，明确提出六大主要任务：一、持续提升科技治理水平；二、建立科学合理的科技投入机制；三、增强信息系统架构规划掌控能力；四、强化系统研发测试管理能力；五、夯实系统运行保障能力；六、健全网络和信息安全防护体系。
 
《安全提升计划》遵循了稳健性、系统性、差异性、创新性等基本原则，明确了33项重点任务清单，便于各券商更清晰明了参照执行。总体目标是力争到2025年，通过组织引导证券公司积极落实各项行动举措，促进证券行业网络和信息安全建设取得扎实成效。



证券行业多项风险值得关注  《安全提升计划》提出更高要求
 
国际对抗新形势下，证券行业所面临的攻击风险会越来越大，对网络安全防御体系提出更广更深的要求；证券行业对关键核心技术的依赖程度越来越高，一旦供应链某个环节出现安全隐患，将对我国证券安全造成重大影响；证券行业业务复杂，传统的基于边界防御、规则检测等静态防护策略和外挂式的安全难以适应新的安全实战需求……《安全提升计划》对证券行业面临的安全挑战给出了切实可行的指导方案和建设方向。
 
1. 网络安全事故频发 代码审计规范亟需完善

2021年6月12日，美国金融软件公司Intuit通知TurboTax客户，他们的部分个人和财务数据在账户接管攻击中遭到泄露；2021年11月8日，美国股票交易平台Robinhood在其系统被黑客入侵后披露了数据泄露事件……诸多网络安全事故为代码质量敲响警钟，在“安全左移”的发展趋势下，代码审计逐渐成为确保代码质量的关键环节。

《安全提升计划》在第四项主要任务“强化系统研发测试管理能力”也提出要“制定并落实信息系统代码审计规范”：“制定及完善涵盖自研系统和外购类系统的代码审计规范。自研系统的代码审计，实现全部代码审计100%覆盖。外购系统的代码审计根据系统交付是否包含源代码，决定是否通过安全代码审计检查或要求供应商提供代码审计报告。”

《安全提升计划》对证券公司自研系统和外购类系统的代码审计提出要求，进一步表明代码审计对提升系统安全性、提高研发效率、进一步健全信息安全建设的必要性。
 
2. 开源软件应用广泛  建立可执行的开源治理体系

开源软件凭借源代码开放、产品方案丰富、初期引入成本低等特点，在金融机构中应用逐渐形成规模。虽然开源软件在推动科技创新和数字化转型方面发挥着积极作用，但也面临诸多风险。

建立开源治理体系是助力证券公司规避风险、保障开源软件合规使用的必要手段。2021年10月，中国人民银行等五部委联合发布的《关于规范金融业开源技术应用与发展的意见》已经为金融行业如何使用开源软件奠定基调，《安全提升计划》再次为开源软件风险治理指明了落实方向。

对于证券公司开源软件风险治理，《安全提升计划》提出要：“建立供应链产品清单和资产台账，加强对供应链产品的功能、性能和安全测试，加强对使用的第三方组件和开源组件的安全检测。”

《安全提升计划》的要求主要针对外购软件时供应商引入的开源软件可能导致的供应链风险和自研过程中使用开源软件进行系统开发时面临的风险这两个场景提出，证券公司参照要求建立可执行的方案来应对开源安全漏洞风险、数据泄露风险、知识产权风险和管理风险，将对实现开源软件的安全可和合规使用起到重要作用。
 
3. 漏洞影响持续加深 多测试技术结合收敛风险

对证券行业而言，无论是自研过程中出现的代码安全缺陷，还是引入的第三方组件的漏洞，都可能会影响网络的机密性、完整性和可用性，导致用户个人信息泄露、数据加密勒索等安全事件的发生，使国家金融安全、社会秩序稳定受到威胁，投资者合法权益受到损害。

《安全提升计划》在“深化漏洞全生命周期管控”中，对软件研发过程提出要“使用白盒检测、黑盒检测、灰盒检测和人工渗透相结合的技术手段，检测代码安全缺陷和引入的第三方组件漏洞，提升安全风险检测的全面性、准确性和效率，实现漏洞通报、修复的闭环管理，确保变更上线前已知风险全面收敛。”

关于软件测试技术，证监会发布的《证券期货业软件测试指南 软件安全测试》（JR/T 0191—2020）对软件安全测试技术的使用给出了明确指示。其中，模糊测试作为一项极具创新的技术，是目前世界范围内热门的动态挖掘软件深层次缺陷的有力工具，被列为证券交易所、期货交易所、证券公司、期货公司必须采用的测试手段。
 
4. 安全手段嵌入开发各环节  全面提升代码开发效率及安全

数字化浪潮下，数字化转型既是提升证券服务质量的助推器，也是引领公司高质量发展的新赛道，推进证券行业数字化转型，对软件开发效率、软件安全提出了更高要求。为实现高质量发展目标，需持续提升代码开发效率及安全。

《安全提升计划》提出从工具建设与规范制定两方面执行，“工具建设方面，建设统一的源代码管理工具和标准化的研发运维一体化工具平台，实现软件开发、测试全生命周期的标准化管理，进而将安全控制手段嵌入信息系统开发的需求分析、设计、编码测试、发布和运维等各环节中。”

中国证券业协会发布的《中国证券业发展报告（2022）》显示，敏捷研发模式已经成为主流的研发模式，约61.4%证券公司采用敏捷研发模式；DevOps也为敏捷落地提供了补充和工具支持，约52.3%的证券公司采用DevOps技术实践并开展相应的系统改造。应《安全提升计划》要求，将测试工具与DevOps集成，将大大加速软件质量保障的速度和能力建设。

“质量门禁”解决方案  夯实软件质量基础

《安全提升计划》作为指导2023年至2025年券商提升网络与信息安全工作的行动指南，结合行业发展现状、各公司实践检验，为证券公司战略规划的调整和实施提供了重要参考。安全厂商安般科技深入挖掘证券行业痛点，贴合《安全提升计划》要求，提出了“质量门禁”解决方案从而应对行业需求。
 
据安全419了解到，安般科技“质量门禁”解决方案是一套基于DevOps开发流程的质量保障体系，方案通过尽早地介入编码、测试等环节，洞察软件脆弱性节点，尽可能全面地发现软件的漏洞和不足，之后通过制定科学合理且符合项目情况的准入准出标准，有效提升软件制品的安全可靠性。
 
“质量门禁”解决方案不局限于各项单独的指标，而是立足于整个软件开发上线需要达成的总体质量目标，采取必要的数据标准，在不同的软件等级、不同的阶段、不同的开发模式中，科学地嵌入DevOps流程。



三大模块构建“质量门禁”解决方案

安般科技“质量门禁”解决方案分为三个模块：数据指标模块、软件评价模块、测试平台模块。

1. 数据指标模块

该模块提供一套完整的指标库，包括圈复杂度、注释率、可维护指数等静态指标，以及危险开源协议数量、bug、覆盖率等动态指标。从一套体系中反映了代码审计的测试理念，帮助团队解决开源治理的核心问题，并涵盖了测试的深度和充分性。

2. 软件评价模块

软件最终服务于业务需求，不同用途的系统如交易系统、互联网业务系统、内部办公系统等，在复杂性、急迫性、迭代性上也存在区别。“质量门禁”解决方案结合客户实际开发场景，对目标软件做出合理分类和定级，同时匹配对应考察的指标集。

3. 测试平台模块

“质量门禁”解决方案集合了一系列测试手段，融合前沿测试技术，有效支撑质量门禁指标的高质量执行。

· 代码审计：实现代码行100%的扫描，支持在代码片段的状态下完成白盒扫描；
· 模糊测试：基于运行反馈和人工智能技术，变异生成大量有针对性的测试用例，快速发现并精准定位程序缺陷，可获取覆盖率和bug相关指标评价，实现上线前的充分测试；
· SCA源代码成分分析：通过全面、快速、准确的知识库扫描，识别软件成分清单S-BOM以及其中使用的开源协议类型。


此外，测试平台还具有良好的延展性，结合待测系统的分级指标，测试平台也可以对应实现灵活的调整和部署。

“质量门禁”解决方案针对自研和第三方交付场景具有很强的灵活适应性。如针对源代码层级、jar/war包层级的程序，可提供高效的测试能力。对于第三方交付的系统，不再只从功能、性能上片面验收，而是获取更加全面的质量验收报告。

此外，解决方案可集成对接至用户已有的DevOps工具中，通过自动化的流程发起，有效地应用于从开发到生产的全流程当中，根据评价机制，自动判断是否进入下一阶段；还可集成于Jira、Jenkins等第三方漏洞管理和项目管理平台，在不改变原有的工作流程、不增加额外的工作内容的前提下，完成功能测试的同时获得安全测试结果。
 
总而言之，安般科技“质量门禁”解决方案构建了全生命周期的缺陷/漏洞管理体系，通过白盒、黑盒、灰盒等多种技术手段，实现漏洞通报、修复的闭环管理，可确保上线前已知风险全面收敛，同时接入第三方组件和开源组件的安全检测，实现多场景、多环节、多维度的质量保障。

据了解，经过4年多的发展，安般科技在软件安全领域积累了丰富的经验，除提出“质量门禁”解决方案外，安般科技认为，其以下四大优势将为证券公司开展《安全提升计划》落地工作提供有力支撑。

· 良好的技术适配性：安般智能模糊测试基于行业领先的引擎能力，紧跟IT发展趋势，不断拓展测试边界，支持分布式软件测试、存在第三方依赖软件的测试、多参数变异测试、多引擎测试等，可以适配金融行业软件分布式、存在大量第三方依赖、多参数输入等典型特点。

· 产学研合作引领创新：安般科技已与四川大学信息安全研究所共建软件负面测试技术联合实验室，推进产学研用协同创新，为构建立体化、智能化的软件负面测试技术体系提供技术支撑；并和中国工程物理研究院计算机应用研究所建立了长期的产学研一体化合作。

· 行业认可度高：作为数据库应用创新实验室、云原生安全实验室、软件供应链安全实验室等协会的成员单位，安般科技积极发挥技术优势，助力各产业与推进。此外，安般科技还跻身多项权威报告、图谱、榜单中，获得各机构和媒体的认可。

· 赋能多家证券行业客户：安般科技面向证券行业提供的模糊测试产品及测试方案，在实际应用中，无论是覆盖率提升幅度还是Bug挖掘能力，均取得了超预期的效果。
 
参照《安全提升计划》开展网络与信息安全建设工作将有效加速证券行业数字化转型的推进，安般科技告诉安全419，其将以“质量门禁”解决方案为基础，充分发挥四大优势，以更坚实的技术底座，助力证券行业《安全提升计划》的落实工作和数字化转型进程。