金融行业开源软件漏洞风险评估框架研究.PDFVIP

第３５卷第９期　　　 计算机应用与软件 Ｖｏｌ３５Ｎｏ．９ ２０１８年９月　　 ＣｏｍｐｕｔｅｒＡｐｐｌｉｃａｔｉｏｎｓａｎｄＳｏｆｔｗａｒｅ Ｓｅｐ．２０１８ 金融行业开源软件漏洞风险评估框架研究 １ ２ １ １ １ １ 何东杰 　匡翔宇　王　琪 　刘为怀 　蒋丹妮 　杨　洁 １（中国银联电子商务与电子支付国家工程实验室　上海２０１２０１） ２（复旦大学计算机科学技术学院　上海２００４３３） 摘　要　　在开源软件获得广泛使用的背景下，金融企业对于开源软件仍持有保守态度，主要原因在于对开源软 件安全性的担忧。开源软件经常会有漏洞曝光，为了准确评估漏洞带来的风险，需要建立准确、客观、可操作的开 源软件漏洞风险的评估框架。提出建立评估模型，并给出具体的实施方案。提出带有校验功能的信息获取方案 和单漏洞风险评估攻击图算法。以两个ＣＶＥ漏洞为例，验证了漏洞风险评估框架的可行性。 关键词　　开源软件　信息安全　软件评测 中图分类号　ＴＰ３　　　　文献标识码　Ａ　　　　ＤＯＩ：１０．３９６９／ｊ．ｉｓｓｎ．１０００３８６ｘ．２０１８．０９．０２０ ＲＥＳＥＡＲＣＨＯＮＯＰＥＮＳＯＵＲＣＥＳＯＦＴＷＡＲＥＶＵＬＮＥＲＡＢＩＬＩＴＹ ＲＩＳＫＡＳＳＥＳＳＭＥＮＴＦＲＡＭＥＷＯＲＫＩＮＦＩＮＡＮＣＩＡＬＩＮＤＵＳＴＲＹ １ ２ １ １ １ １ ＨｅＤｏｎｇｊｉｅ　ＫｕａｎｇＸｉａｎｇｙｕ　ＷａｎｇＱｉ　ＬｉｕＷｅｉｈｕａｉ　ＪｉａｎｇＤａｎｎｉ　ＹａｎｇＪｉｅ １（ＲｅｓｅａｒｃｈＩｎｓｔｉｔｕｔｅｏｆＥｌｅｃｔｒｏｎｉｃＰａｙｍｅｎｔ，ＣｈｉｎａＵｎｉｏｎＰａｙＣｏ．，Ｌｔｄ．，Ｓｈａｎｇｈａｉ２０１２０１，Ｃｈｉｎａ） ２（ＳｃｈｏｏｌｏｆＣｏｍｐｕｔｅｒＳｃｉｅｎｃｅ，ＦｕｄａｎＵｎｉｖｅｒｓｉｔｙ，Ｓｈａｎｇｈａｉ２００４３３，Ｃｈｉｎａ） Ａｂｓｔｒａｃｔ　　Ｉｎｔｈｅｃｏｎｔｅｘｔｏｆｔｈｅｗｉｄｅｓｐｒｅａｄｕｓｅｏｆｏｐｅｎｓｏｕｒｃｅｓｏｆｔｗａｒｅ，ｆｉｎａｎｃｉａｌｃｏｍｐａｎｉｅｓｓｔｉｌｌｈｏｌｄａｃｏｎｓｅｒｖａｔｉｖｅ ａｔｔｉｔｕｄｅｔｏｗａｒｄｏｐｅｎｓｏｕｒｃｅｓｏｆｔｗａｒｅ，ｍａｉｎｌｙｂｅｃａｕｓｅｏｆｃｏｎｃｅｒｎｓａｂｏｕｔｔｈｅｓｅｃｕｒｉｔｙｏｆｏｐｅｎｓｏｕｒｃｅｓｏｆｔｗａｒｅ．Ｏｐｅｎｓｏｕｒｃｅ ｓｏｆｔｗａｒｅｏｆｔｅｎｅｘｐｏｓｅｓｖｕｌｎｅｒａｂｉｌｉｔｉｅｓ．Ｉｎｏｒｄｅｒｔｏａｃｃｕｒａｔｅｌｙａｓｓｅｓｓｔｈｅｒｉｓｋｓｐｏｓｅｄｂｙｖｕｌｎｅｒａｂｉｌｉｔｉｅｓ，ｉｔｉｓｎｅｃｅｓｓａｒｙｔｏ ｅｓｔａｂｌｉｓｈａｎａｃｃｕｒａｔｅ，ｏｂｊｅｃｔｉｖｅ，ａｎｄｏｐｅｒａｂｌｅｆｒａｍｅｗｏｒｋｆｏｒａｓｓｅｓｓｉｎｇｖｕｌｎｅｒａｂｉｌｉｔｙｒｉｓｋｓｏｆｏｐｅｎｓｏｕｒｃｅｓｏｆｔｗａｒｅ．Ｔｈｅ ａｕｔｈｏｒｅｓｔａｂｌｉｓｈｅｄａｎｅｖａｌｕａｔｉｏｎｍｏｄｅｌａｎｄｇａｖｅｓｐｅｃｉｆｉｃｉｍｐｌｅｍｅｎｔａｔｉｏｎｐｌａｎｓ．Ｔｈｅａｕｔｈｏｒａｌｓｏｐｒｏｐｏｓｅｄａｎｉｎｆｏｒｍａｔｉｏｎ ａｃｑｕｉｓｉｔｉｏｎｍｅｔｈｏｄｗｉｔｈａｖｅｒｉｆｉｃａｔｉｏｎｆｕｎｃｔｉｏｎａｎｄａｓｉｎｇｌｅｖｕｌｎｅｒａｂｉｌｉｔｙｒｉｓｋａｓｓｅｓｓｍｅｎｔａｔｔａｃｋｇｒａｐｈａｌｇｏｒｉｔｈｍ．Ｔａｋｉｎｇ ｔｗｏＣＶＥｖｕｌｎｅｒａｂｉｌｉｔｉｅｓａｓａｎｅｘａｍｐｌｅ，ｔｈｅｆｅａｓｉｂｉｌｉｔｙｏｆｔｈｅｖｕｌｎｅｒａｂｉｌｉｔｙａｓｓｅｓｓｍｅｎｔｆｒａｍｅｗｏｒｋｉｓｖｅｒｉｆｉｅｄ． Ｋｅｙｗｏｒｄｓ　　Ｏｐｅｎｓｏｕｒｃｅｓｏｆｔｗａｒｅ　Ｉｎｆｏｒｍａｔｉｏｎｓｅｃｕｒｉｔｙ　Ｓｏｆｔｗａｒｅｅｖａｌｕａｔｉｏｎ 将来会不