近日，全国网络安全标准化技术委员会发布《网络安全技术 网络安全众测服务要求》（GB/T 43741-2024，以下简称「众测服务要求」），并将在2024年11月1日正式实施。

众测（Crowd Testing）是一种软件测试方法，通过利用大量的志愿者用户（即众测人员）来测试新开发的软件或应用程序。相比传统的内部测试团队，众测可以更广泛地涵盖不同的设备、操作系统、网络环境和使用情境，从而提供更全面和真实的测试结果。

众测通常由一家专门的众测平台或公司组织和管理，他们会招募和管理一批经过筛选和培训的众测人员。测试任务（Test Case）由软件开发商或委托方提供，众测人员按照任务要求，使用指定的设备和环境，进行测试并提交测试结果和反馈。

1. 多样性：通过众测可以涵盖更广泛的用户群体，包括不同设备、操作系统、网络环境和使用情境，从而提供更全面和真实的测试覆盖。

2. 弹性和灵活性：众测平台可以根据需求和时间来快速招募测试人员，测试可以在不同的时间和地点进行，提供更大的灵活性。

3. 成本效益：相比建立和维护一个内部的测试团队，众测可以降低测试成本。此外，众测可以通过按需支付测试费用，使测试成本更加可控。

4. 实时反馈：众测人员可以根据实际使用情况提供实时的反馈和建议，帮助开发者及时修复问题和改进产品。

《众测服务要求》主要内容包括：

（1）网络安全众测服务的定义和服务流程；

（2）网络安全众测服务可能存在的安全风险；

（3）网络安全众测服务的各相关方（众测需求方、众测组织方、授权测试方、众测审计方），各相关方在众测项目实施过程中的交互关系以及各相关方的职责；

（4）在网络安全众测服务准备阶段、实施阶段、后处理阶段各相关方应遵循的要求；其中后处理阶段给出众测服务结果为交付安全众测报告及安全审计报告，安全众测报告内容包括但不限于：安全测试对象、测试时间、测试人员、测试对象整体安全情况分析、漏洞分布及分析、漏洞信息、漏洞修复建议、安全防护建议等，安全审计报告的内容包括但不限于测试范围、测试时间、测试人员、审计内容、及审计结果等；

（5）网络安全众测服务平台安全要求，包括用户数据隔离要求、数据库加固要求、身份鉴别要求、访问控制要求等；

（6）网络安全众测服务平台功能参考；

（7）授权测试方行为准则，用于规范授权测试方的行为。

《众测服务要求》进一步规范了网络安全众测服务所涉及角色的安全职责、服务流程和要求。本标准适用于网络安全众测服务过程中的众测需求方、众测组织方、授权测试方和众测审计方在开展网络安全众测服务时使用。