梅磊 石晓宁 刘鸿飞

摘要：随着云计算技术日益成熟，软件测试即服务模式给软件测试服务行业带来了巨大的影响，而云测试平台下的软件资产安全性管理已然成为TaaS模式推广应用的严重挑战。通过分析国内外现有的云测试软件资产安全性管理办法，同时结合资产安全性管理思维提出软件资产安全性的管理方法，并给出具体的实践措施与管理流程。

关键词：TaaS模式;软件云测试;资产安全陛;资产管理模型

中图分类号：TP311 文献标识码：A

文章编号：1009-3044（2020）22-0221-02

开放科学（资源服务）标识码（0SID）：

近年来软件质量问题日益凸显，软件测试的重要性也与日俱增，作为软件研制全生命周期过程中的重要保障手段，软件测试已成为影响软件质量、提高软件产品可靠性和安全性的关键环节之一[1]。借用云计算技术新模式，以互联网服务的方式为客户提供动态可伸缩的虚拟化计算资源，在软件即服务（ SaaS）、平台即服务（PaaS）等云计算基本服务的基础上，应运而生的“测试即服务”（Testing as a Service，TaaS）模式，将新型的商业模式引入传统的测试行业[2]。TaaS与传统软件测试模式相比，主要特点如下：

（1）测试服务定制化。TaaS模式测试服务提供商可以分别针对公有及私有测试云，为使用者提供定制化的专业软件测试服务。客户只需经过业务培训即可定制个性化服务，不仅减少客户终端的处理负担，而且极大降低客户对软件测评专业知识的依赖[1];

（2）资源配置弹性化。云测试服务通过对资源的使用情况进行统计量化，在测试资源共享的基础上，根据量化结果实现动态核算的成本模式，并依据基础设施资源（包括CPU、存储、带宽等）的动态配置结果，弹性调整企业的维护成本和客户使用成本;

（3）环境部署自动化。通过测试云自动配置和部署测试环境，自适应实现资源调度，同时，灵活应用虚拟化技术构建跨平台测试环境，以适应多架构、多系统、多数据库的测试需求，提高测试效率[3]。

（4）过程管理科学化。应用现代科学的项目管理模式，包含完整的项目管理生命周期、严格的保密管理规范以及标准化的软件质量监控机制。

对于TaaS服务提供商而言，面临的主要风险都与资产的安全性相关，特别对于大型上市电子信息企业，敏感数据、文档、代码等涉及企业核心软件资产的泄露都会对企业造成严重的经济损失和信用危机，因此，软件资产的安全性研究已成为Ta-aS模式发展推广的重大难题。

1 软件资产安全性研究概况

构建软件资产安全性管理（ Software Asset Security Manage-ment，SASM）的基础架构和运行流程，目的在于确定客户在组织内部对所有软件资产的采购、分发、使用、变更、升级、维护、删除等生命周期过程进行有效管理、控制和保护[3]。其中的软件资产的安全性研究，对降低企业软件资产管理风险，提升软件资产的利用率与整体效益都有着积极成效。软件资产是在软件开发各阶段的需求说明、设计实现与维护等过程中随之产生的一系列测试数据的集合，包含在软件资产共享库中存在的软件源代码、客户数据信息、设计与测试文档的总和[4]，还包括客户提供的待测软件结构信息、云测试工具数据库、客户组织内部信息以及受保护的系统敏感数据等资源。而在某些特殊情况下，有些数据信息因受到第三方机构的法律保护而无法进行使用，因此测试服务提供商还要承担信息不完整性带来的服务质量风险，其中主要涉及的软件资产包括文档类、代码类、数据类[5]。

2 云测试平台的安全性保护

为了在云测试服务中提高软件资产的安全性，要合理规避应用TaaS平台时带来的安全性风险，因平台自身具备数据资源池化、技术虚拟化、部署分布化等特点，都会在软件测试服务期间埋下安全漏洞的隐患。由开发商客户组织测试过程的设计与规划工作，从全局出发，充分考虑客户需求，围绕测试策划、需求分析、测试设计、过程监督以及测试审核等方面，开展云测试平台的个性化搭建与使用。TaaS服务模式下对于云计算平台的基础测试过程与测试资产库的管理而言，一套良好的授权机制和安全管理技术不可或缺，既要对客户的登录权限及操作内容进行详细合理的设定，对每位使用云平台的用户、测试专家、项目管理人员等进行身份验证，同时建立严格的授权监督管理机制，保证在云测试平台上存储、使用的所有资产均处于保护和监督的状态之下[6]。TaaS模式下的软件测试往往需要拥有足够的专业能力和技术资源来处理复杂的测试业务，云测试平台的安全性验证在流程与业务驱动的基础上也就成为确保软件产品高质量的同时满足软件使用者业务需求的重要决策环节，这就对平台的涵盖范围和执行过程提出了更高的要求。

3 TaaS模式下软件资产的安全性管理

为解决TaaS环境下软件资产的安全性管理问题，需要从企业内部自顶向下，分別制定企业软件资产管理标准，以服务提供层和数据交互层为核心，以基础服务层为底层应用服务架构，以应用管理层和资产统计层为拓展服务目标，并结合云计算技术为业务支撑，共同构建软件资产安全性管理框架。在软件资产安全性管理规定中，明确各个层级之间交互时需要遵循的保护协议，例如数据交互层与基础服务层之间应使用内部通信协议等，同时，充分考虑用户对软件资产的安全性保护需求与测试人员（内部的自动化测试小组和外包的测试专家）对测试数据深度开放性需求[6]。

针对软件资产的安全性管理框架，结合传统软件测试流程、软件研制生命周期的管理模式，以及云测试期间产生的软件资产，共同构建云测试软件资产安全管理模型。根据各类资产的交互、使用与存储特点，分别在数据交互层中建立各种数据库进行管理，而在使用这些软件资产前，云测试服务的提供商必须要建立一套旨在保障云测试软件资产安全规范应用的组织标准。下面将从不同类型软件资产（数据资产、代码资产、文档资产）的管理特点出发，分别研究其安全性管理的具体方法。

3.1 TaaS模式下数据资产的安全性管理TaaS模式下，云测试软件数据资产的安全可靠性问题在TaaS模式的推广过程中，已然摆在了所有相关企业的面前。为了更好地解决数据资产的安全性管理问题，需要对数据资产进行分类分级，以便更有针对性的按需制定管理措施。通过对数据资产进行分析与整理，给出如表l所示的数据资产类型与安全性等级信息。

对于公有数据，其公开内容部分在项目策划阶段已经过多方讨论确认，因此仅对该类数据的访问仅限、数据使用范围、防恶意篡改等属性进行规定;对于用户及服务提供商权限的数据，在云测试平台的数据库中要设计权限列表，对项目所有的利益相关方进行权限划分，以便于对操作记录的审批或追踪。特别地，对于多次申请数据操作未通过的情况，要加大风险控制权重，以降低数据泄露的风险;而对于保密等级最高的私有数据，因其敏感程度仅对极少数用户或测试专家公开，除了常规身份验证过程外，还须验证数据操作的申请者与数据之间的归属关系，同时，禁止进行任何形式的修改，并制定严苛的惩罚机制，对泄露数据的机构或个人采取法律措施追究其责任。

3.2 TaaS模式下代码资产的安全性管理

作为TaaS模式中的测试对象，对于用户提供的软件源代码与可执行文件必须保证其安全性，特别是传统软件测试过程中容易忽略的程序配置文件和软件运行环境的安全性隐患，都应被纳入代码资产中进行管理。主要体现在以下几个方面：

知识产权保护。服务提供商与用户签订合同时，要约定受保护代码资产的内容及使用范围，保障代码资产在合法的前提下，最大化代码资产价值，提高云测试效益;

定期检查。定期验证代码资产与运行环境的状态一致性和内容的完整性，禁止代码资产的非法存储与移植拷贝，并定期进行局部及全盘杀毒，消除病毒入侵的隐患;

执行督促。由质量监督人员负责对代码资产的使用状况进行跟踪，定期公布代码资产管理目录，同时，由软件资产负责人定期对测试组人员从代码版本控制、出入库登记等使用情况进行评估与通报，保障代码资产管理策略的落实。

当TaaS模式下软件代码资产的安全性遭到破坏时，将引起极其严重的连锁反应，而随着软件版权概念逐渐深入，软件企业法律意识的逐渐增强，云测试服务提供商必须尊重用户提供的软件知识保护，特别对于涉及企业专利、软件著作权等软件代码资产的使用，要严制格遵循代码资产使用规范。

3.3 TaaS模式下文档资产的安全性管理

传统软件测试下，软件的开发、测试过程中产生的需求、设计、用例以及在配置管理、质量监督过程中产生的记录管理单据等文档资产都由专人负责管理，而在TaaS模式下，所有文档资产的管理方式、途径都被转移至线上进行，再加上云测试平台自身的不稳定因素，容易导致文档资产的泄漏、篡改等安全性事件的发生。TaaS模式下对文档类型和内容进行统计与分析，确定文档资产的安全性管理等级，然后根据文档资产的分类情况，采取线上线下并行的方式对文档资产进行安全性管理。

为了合理使用文档资产，测试服务提供商需要建立一套完整的、旨在保障软件开发与测试文档信息安全的组织规范，并在不同的测试执行环节，与软件组织建立相对独立的文档调用流程与协议，内容应包括保密规定与措施、使用范围与期限以及文档修改、销毁等方面的要求，在经过客户联合测评机构进行安全评估后，方可通过文档资产的使用授权，同时，从权限审核、配置管理、在线监测等方面，分类建立文档资产管理数据库，严格控制文档资产管理的审批权，保证文档的“严进严出”，对于需要留存的纸质文档资产，仍交由专人负责配置管理工作，从而实现线上管理与共享使用，线下专人监督与存储维护。

4 结束语

TaaS模式已然对传统软件测试行业产生了巨大的冲击，面对技术虚拟化、部署分布化、云测试自动化的目标，通过落实完备的云测试平台安全性保护措施，构建云测试软件数据、代码、文档资产的综合型管理模式就成为解决软件资产安全性管理难题的突破口，这也更符合未来软件测试服务商业模式的发展趋势。

参考文献：

[1]张一弛，熊湘文，黄雅文，等.云计算环境下测试数据的界定与管理[J].现代图书情报技术，2012（11）：16-21.

[2]王博，測试服务化系统平台中项目管理功能的设计和实现[Dl.北京：北京邮电大学，2016.

[3]高春光，软件的权限管理与管理信息系统的安全性[J].数字石油和化工，2007（8）：61-62.

[4]梅磊，刘鸿飞，董文通.基于测试过程管理的航天软件质量评价[J].西华大学学报（自然科学版），2019，38（6）：67-72.

[5]王文东，刘继梅，王嵃灏，等.基于云计算环境下的软件测试研究[Jl.电脑知识与技术，2017，13（27）：239-240，268.

[6]代艳华，基于云服务的软件自动化测试系统设计及实现[D].北京：北京交通大学，2017.

【通联编辑：代影】

作者简介：梅磊（1987-），男，高级工程师，硕士，主要研究方向为软件测试、软件工程化。