2015年第四季度开源软件源代码安全漏洞分析报告-国家互联网应急.pdfVIP

公 开 2015 年第四季度开源软件源代码 安全漏洞分析报告 国家计算机网络与信息安全管理中心 实验室 2016 年1 月 目录 1 概述 1 2 被测开源软件1 3 测试内容3 3.1 安全漏洞种类 3 3.2 安全漏洞级别 4 4 开源软件项目的安全漏洞情况5 4.1 安全漏洞情况概览5 4.2 高危安全漏洞分布情况 10 4.3 安全漏洞总体分布情况 13 5 关于本报告的说明 16 国家计算机网络与信息安全管理中心实验室 1 概述 近年来，随着软件技术飞速发展，开源软件已在全球范围内得到了广泛应用。数据 显示，从 2012 年起，已有超过 80%的商业软件使用开源软件。开源软件的代码一旦存 在安全问题，必将造成广泛、严重的影响。为了解当前开源软件的安全情况，实验室本 季度对 30 款广泛使用的知名开源软件进行了源代码安全测试。结合漏洞扫描工具和人 工审计的结果，形成了本漏洞分析报告。本次测试在代码层面共发现高危安全漏洞 4348 个。与上季度的结果相比，这些开源软件存在的安全问题依然严重。 2 被测开源软件 表 1 列出了本次被测的 30 个开源软件项目的概况 ，涵盖了JAVA ，PHP ，C++ ， JavaScript 四种编程语言。这些软件项目都是国际、国内知名的，拥有广泛用户的软件 项目，其中不乏由知名软件公司开发的软件。由于这些软件大多具有巨大的用户群体， 软件中的安全漏洞很可能会造成严重的后果。 表 1 被测开源软件项目概览 项目名称 版本号 主 要 功能说明 代码行数(L) 编 程 语言 async-http-client 1.9.32 JAVA 异步 HTTP 请求处理框架 46366 bitcoin 0.11.2 C++ 比特币在线交易系统 37813 Cakephp 3.2 PHP Web 应用程序开发框架 26288 clojure 1.8.0 JAVA 运行在 Java 平台上的动态函数式编 39993 程语言 CodeIgniter 3.1.6 PHP Web 应用程序开发框架 28877 druid 1.0.16 JAVA 数据库访问组件 297400 第 1 页， 共 18 页 国家计算机网络与信息安全管理中心实验室 EventBus 2.4.0 JAVA Android 组件间通信库 3828 Graylog2 1.3.3 JAVA 日志管理平台 115652 greenDAO 1.3.7 JAVA 移动开发的 ORM 框架 14988 jedis 2.8.0 JAVA Redis 的 Java 客户端开发包