CNCERT公布《开源软件代码安全缺陷区分报告》(图) _病毒安全_

最近，CNCERT发布了“开源软件代码安全缺陷分析报告”，重点关注国内知名互联网公司的软件安全发展状况，并通过检测其安全缺陷来评估每个公司的代码安全性。公司的多个开源软件产品控制情况。 360 Code Guard团队为报告提供了技术支持。

随着软件技术的飞速发展，开源软件已在全球范围内得到广泛使用。数据显示，自2012年以来，超过80％的商业软件已使用开源软件。开源软件的代码一旦出现安全问题，将造成广泛而严重的影响。

为了了解开源软件的安全状况，CNCERT继续对广泛使用的知名开源软件进行源代码安全缺陷分析，并每季度发布一次安全缺陷分析报告。本报告重点关注阿里巴巴，腾讯，百度，网易，新浪等国内知名互联网公司，综合考虑用户数量，关注程度等，选择了这些公司下的20个代表性开源项目。评估此开源软件产品的安全缺陷，并评估每个公司的代码安全控制状况，并结合缺陷扫描工具和手动审核的结果，评估每个公司的项目安全性。

每千行代码的缺陷数高达7. 79。

该报告比较了不同Internet公司的产品安全配置文件。下图显示了在此测试中每个公司检测到的高风险和中风险缺陷的总数，以及该公司计算的每千行的缺陷数。数字。

图互联网公司产品安全性对比图

由于每个公司项目中检测到的缺陷的绝对数量与项目数量和项目规模有关，并且不能直接反映公司的产品安全性，因此本节重点介绍每千行的缺陷数量。根据这些数据，阿里巴巴的整体产品安全性相对较高，每千行代码平均只有0. 3个安全漏洞。

国外知名公司产品的安全性有其不足和长处。

该报告还比较了国外知名互联网公司Google，Twitter和Facebook下12个开源项目的先前安全评估结果，以及该产品的测试结果。由于项目的绝对缺陷数与项目的大小有关，因此本节主要关注安全缺陷密度（即每千行代码包含的平均安全缺陷数）进行比较。下图显示了互联网公司产品缺陷密度的比较。可以清楚地看到，总体上，这三家外国公司对产品安全缺陷的控制更加严格，其产品安全性明显优于国内互联网公司的平均水平，需要提高国内互联网公司的软件开发安全意识。改善。同时，值得一提的是，根据此次评估的结果，阿里巴巴在产品安全缺陷控制方面表现良好，可以代表国内一流水平，优于国外公司Twitter。

本文来自本站，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-358335-1.html