开源软件源代码安全漏洞分析报告及相关探究及相关讲述.PDFVIP

公 开 开源软件源代码安全漏洞分析报告 ——区块链专题 国家互联网应急中心 实验室 2016 年 10 月 目录 1 概述 1 2 被测开源软件 2 3 测试内容 4 3.1 安全漏洞种类 4 3.2 安全漏洞级别 6 4 开源区块链软件项目的安全漏洞情况 7 4.1 安全漏洞情况概览 7 4.2 高危安全漏洞分布情况 9 4.3 安全漏洞总体分布情况 12 5 关于本报告的说明 15 国家互联网应急中心实验室 1 概述 随着软件技术飞速发展，开源软件已在全球范围内得到了广泛应用。数据显示，从 2012 年起，已有超过 80%的商业软件使用开源软件。开源软件的代码一旦存在安全问 题，必将造成广泛、严重的影响。为了解开源软件的安全情况，实验室持续对广泛使用 的知名开源软件进行源代码安全漏洞分析，并发布季度安全漏洞分析报告。 当下，区块链技术已经不容置疑的成为科技和金融领域最炙手可热的新技术。区块 链技术是一种通过去中心化和去信任的方式集体维护一个可靠数据库（账本）的解决方 案。由于其高效、便捷、安全的特性，区块链技术受到了金融业的广泛关注。在今年的 华盛顿国际金融年会上，美联储评价区块链“可能代表着多年以来，支付、清算及结算 领域内最为显著的发展”。 据悉，全世界各大金融巨头都在纷纷大举进军区块链技术领域。各大股票和商品交 易所一直积极地通过试验和投资对区块链进行调研。例如，纳斯达克交易所在去年秋季 推出了其区块链项目 Linq。早在去年 12 月 30 日，纳斯达克就完成了基于区块链技术 平台的首个证券交易。包括我国在内的全球央行也在紧锣密鼓的开展区块链技术相关的 研究和应用试点。今年 1 月份，包括摩根大通、花旗集团、德意志交易所集团等在内的 多家世界顶级投行联合向区块链项目投资，旨在用来规划建设更加高效和安全的区块链 相关金融产品组合。除此之外，巴克莱银行、瑞士信贷集团等 9 家全球顶级银行已着手 为区块链技术在银行业中的使用制定行业标准和协议。预计到 2017 年，全球银行业在 区块链技术开发中的投入将超过 10 亿美元，领跑所有企业软件板块的发展速度。 今年 6 月 ，包括中国代表在内的来自 90 个国家的央行及监管机构代表齐聚华盛顿 美联储总部，共同探讨区块链技术的发展和应用。可见，区块链的重要性已获得金融监 第 1 页， 共 15 页 国家互联网应急中心实验室 管者的认可 ，全球对区块链的兴趣已经不再局限于某个机构内部，开始了大规模的协同 探索。而区块链技术的安全是被关注的重点问题，一旦相关软件存在漏洞，将造成巨大 的财产损失。 实验室本季度聚焦区块链领域的知名开源软件。结合漏洞扫描工具和人工审计的结 果，形成了本漏洞分析报告。本次检测在代码层面发现高危安全漏洞和安全隐患共 746 个。从结果来看，开源区块链软件存在着不容忽视的严重安全风险。 2 被测开源软件 综合考虑用户数量、受关注程度以及更新频率等情况 ，实验室选取了 25 款具有代 表性的区块链软件。表 1 列出了本次被测的开源区块链软件项目的概况。本次检测的软 件涵盖了 C ，C++ ，Java ，Python ，PHP 等编程语言。这些开源软件项目都是国际、 国内知名的，拥有广泛用户的软件项目，其中不乏由知名软件公司开发的软件。由于这 些软件多数与资产、货币交易相关，一旦出现漏洞，可能会导致财产损失的严重风险。 表 1 被测开源软件项目概览 项目名称 版本 功能描述 主要编程语