安全路透社
当前位置:安全路透社 > 安全客 > 正文

【安全报告】关于国外知名互联网公司开源软件代码安全缺陷的分析报告

说明


360代码卫士与国家互联网应急中心CNCERT合作,对国外知名互联网公司开源软件代码的安全缺陷情况进行了分析,以下为报告全文。本文转自国家互联网应急中心CNCERT。


前言


随着软件技术飞速发展,开源软件已在全球范围内得到了广泛应用。数据显示,从2012年起,已有超过80%的商业软件使用开源软件。开源软件的代码一旦存在安全问题,必将造成广泛、严重的影响。为了解开源软件的安全情况,CNCERT持续对广泛使用的知名开源软件进行源代码安全缺陷分析,并发布季度安全缺陷分析报告。

本期报告聚焦国际知名互联网公司的软件安全开发现状,通过检测公司旗下多款开源软件产品的安全缺陷,评估各公司的代码安全控制情况。针对国际知名互联网公司,选取关注度高的开源项目,结合缺陷扫描工具和人工审计的结果,对各公司的项目安全性进行评比。


1 被测开源软件


参考Github机构排名,本期报告聚焦国际知名互联网公司Google、Facebook、Twitter,综合考虑用户数量、受关注程度等情况,选取了这些公司旗下的12款具有代表性的开源项目。本次被测的开源软件项目的概况如下:

图7 Twitter中危缺陷分布情况

正如前文所述,3个公司软件的中危缺陷绝大多数都为代码质量类问题,而普遍出现较多的两类缺陷分别是“变量或参数等使用前未进行初始化”和“资源未及时释放”,也均属于代码质量类问题,这些缺陷虽然不易直接被攻击者利用,但确实会造成程序运行不稳定、性能下降甚至崩溃等问题。表4和表5分别列出了这两种缺陷在各公司项目中的分布情况。

表4 中危未初始化问题分布情况

http://p5.qhimg.com/t01d9a238f000e69960.png

表5 中危资源未释放缺陷分布情况

http://p4.qhimg.com/t01a519f4cc31f666bb.png


4 关于本报告的说明


1、本报告仅从代码角度进行缺陷分析。本报告中统计的缺陷是指由于代码编写不规范导致的有可能被攻击者利用的安全隐患。在实际系统中,由于软件实际部署环境、安全设备等的限制,部分缺陷可能无法通过渗透测试得到验证。

2、本报告中的缺陷仅适用于表1中列出的特定软件版本。当软件版本有任何更新、修改和优化时,本报告不再适用。

3、本报告由360代码卫士团队提供部分技术支持。


本文地址:http://bobao.360.cn/learning/detail/4619.html

未经允许不得转载:安全路透社 » 【安全报告】关于国外知名互联网公司开源软件代码安全缺陷的分析报告

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册