- 1、本文档共14页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
开源软件源代码安全缺分析报告
公 开
开源软件源代码安全缺陷分析报告
——大数据专题
国家互联网应急中心
实验室
2017 年 3 月
目录
1 概述 1
2 被测开源软件 1
3 测试内容 3
3.1 安全缺陷种类 3
3.2 安全缺陷级别 4
4 开源大数据软件项目的安全缺陷情况 5
4.1 安全缺陷情况概览 5
4.2 高危安全缺陷分布情况 7
4.3 安全缺陷总体分布情况 9
5 关于本报告的说明 12
国家互联网应急中心实验室
1 概述
随着软件技术飞速发展,开源软件已在全球范围内得到了广泛应用。数据显示,从
2012 年起,已有超过 80%的商业软件使用开源软件。开源软件的代码一旦存在安全问
题,必将造成广泛、严重的影响。为了解开源软件的安全情况,实验室持续对广泛使用
的知名开源软件进行源代码安全缺陷分析,并发布季度安全缺陷分析报告。
在当今这个信息爆炸的时代,大数据已经逐渐从前沿技术转变为众多企业的必备解
决方案。随着大数据和预测分析技术的成熟,从初创企业到行业巨头,各种规模的供应
商都在借助开源软件处理大数据和运行预测分析。实验室本季度聚焦 20 款大数据领域
的知名开源软件。结合缺陷扫描工具和人工审计的结果,形成了本缺陷分析报告。本次
检测在代码层面发现高危安全隐患共 133 个。从结果来看,开源大数据软件存在着不容
忽视的安全风险。
2 被测开源软件
综合考虑用户数量、受关注程度以及更新频率等情况 ,实验室选取了 20 款具有代
表性的大数据软件。表 1 列出了本次被测的开源大数据软件项目的概况。本次检测的软
件涵盖了 C ,Java ,Python ,PHP 等编程语言。这些开源软件项目都是国际、国内知
名的,拥有广泛用户的软件项目,其中不乏由知名软件公司开发的软件。由于这些软件
大多具有巨大的用户群体,软件中的安全缺陷很可能会造成严重的后果。
表 1 被测开源软件项目概览
主要编
项目名称 版本号 程语言 功能说明 代码行数
Drill 1.8.0 Java 低延迟的分布式海量数据交互式查询引擎 380,645
第 1 页, 共 12 页
国家互联网应急中心实验室
KosmosFS 0.3 Java 分布式文件存储系统 596,551
Cascading 3.1.2 Java Hadoop 集群数据处理 API 2,699,212
Lucene 6.3.0 Java 全文检索引擎工具包 768,443
3.0.0- 支持高效迭代、递归分析任务的
HaLoop Java
alpha1 MapReduce 框架 2,375,727
Hama 0.7.1 Java 基于 BSP 分析模式的大数据分析框架 67,582
Splunk 6.5.1 Pytho
文档评论(0)