开源软件源代码安全缺分析报告.PDF

公 开 开源软件源代码安全缺陷分析报告 ——大数据专题 国家互联网应急中心 实验室 2017 年 3 月 目录 1 概述 1 2 被测开源软件 1 3 测试内容 3 3.1 安全缺陷种类 3 3.2 安全缺陷级别 4 4 开源大数据软件项目的安全缺陷情况 5 4.1 安全缺陷情况概览 5 4.2 高危安全缺陷分布情况 7 4.3 安全缺陷总体分布情况 9 5 关于本报告的说明 12 国家互联网应急中心实验室 1 概述 随着软件技术飞速发展，开源软件已在全球范围内得到了广泛应用。数据显示，从 2012 年起，已有超过 80%的商业软件使用开源软件。开源软件的代码一旦存在安全问 题，必将造成广泛、严重的影响。为了解开源软件的安全情况，实验室持续对广泛使用 的知名开源软件进行源代码安全缺陷分析，并发布季度安全缺陷分析报告。 在当今这个信息爆炸的时代，大数据已经逐渐从前沿技术转变为众多企业的必备解 决方案。随着大数据和预测分析技术的成熟，从初创企业到行业巨头，各种规模的供应 商都在借助开源软件处理大数据和运行预测分析。实验室本季度聚焦 20 款大数据领域 的知名开源软件。结合缺陷扫描工具和人工审计的结果，形成了本缺陷分析报告。本次 检测在代码层面发现高危安全隐患共 133 个。从结果来看，开源大数据软件存在着不容 忽视的安全风险。 2 被测开源软件 综合考虑用户数量、受关注程度以及更新频率等情况 ，实验室选取了 20 款具有代 表性的大数据软件。表 1 列出了本次被测的开源大数据软件项目的概况。本次检测的软 件涵盖了 C ，Java ，Python ，PHP 等编程语言。这些开源软件项目都是国际、国内知 名的，拥有广泛用户的软件项目，其中不乏由知名软件公司开发的软件。由于这些软件 大多具有巨大的用户群体，软件中的安全缺陷很可能会造成严重的后果。 表 1 被测开源软件项目概览 主要编 项目名称 版本号 程语言 功能说明 代码行数 Drill 1.8.0 Java 低延迟的分布式海量数据交互式查询引擎 380,645 第 1 页， 共 12 页 国家互联网应急中心实验室 KosmosFS 0.3 Java 分布式文件存储系统 596,551 Cascading 3.1.2 Java Hadoop 集群数据处理 API 2,699,212 Lucene 6.3.0 Java 全文检索引擎工具包 768,443 3.0.0- 支持高效迭代、递归分析任务的 HaLoop Java alpha1 MapReduce 框架 2,375,727 Hama 0.7.1 Java 基于 BSP 分析模式的大数据分析框架 67,582 Splunk 6.5.1 Pytho