開(kāi)源軟件具有開(kāi)放、共享、自由等特性，在軟件開(kāi)發(fā)中扮演著越來(lái)越重要的角色，也是軟件供應(yīng)鏈的重要組成部分。據(jù)Gartner調(diào)查顯示，99%的組織在其 IT系統(tǒng)中使用了開(kāi)源軟件。而來(lái)自Sonatype公司的一項(xiàng)調(diào)查則顯示，在參與調(diào)查的3000家企業(yè)中，每年每家企業(yè)平均下載 5000個(gè)開(kāi)源軟件。

然而，開(kāi)源軟件中存在大量的安全隱患，企業(yè)在享受開(kāi)源軟件帶來(lái)的便利的同時(shí)，也在承擔(dān)著巨大的安全風(fēng)險(xiǎn)。近年來(lái)，開(kāi)源軟件頻繁爆出高危漏洞，例如Strusts2、OpenSSL等。這些組件很多都應(yīng)用于信息系統(tǒng)的底層，并且應(yīng)用范圍非常廣泛，因此漏洞帶來(lái)的安全危害非同一般。

美國(guó)首先認(rèn)識(shí)到開(kāi)源軟件安全問(wèn)題的重要性，東亞服務(wù)器 臺(tái)灣服務(wù)器，早在2006年，美國(guó)國(guó)土安全部就資助Coverity公司開(kāi)展“ 開(kāi)源軟件代碼測(cè)試計(jì)劃”，針對(duì)大量開(kāi)源軟件進(jìn)行安全隱患的篩查和加固，截至2017年2月，累計(jì)檢測(cè)各種開(kāi)源軟件 7000多個(gè)，新加坡電信服務(wù)器 馬來(lái)西亞服務(wù)器，發(fā)現(xiàn)大量安全缺陷。

鑒于上述形勢(shì)，360代碼衛(wèi)士團(tuán)隊(duì)基于自身技術(shù)積累和產(chǎn)品能力，在2015年初發(fā)起了國(guó)內(nèi)的“ 開(kāi)源項(xiàng)目檢測(cè)計(jì)劃（）”，這項(xiàng)計(jì)劃是針對(duì)開(kāi)源軟件的一項(xiàng)公益性安全檢測(cè)計(jì)劃，旨在讓廣大開(kāi)發(fā)者關(guān)注和了解開(kāi)源軟件安全問(wèn)題，提高軟件安全開(kāi)發(fā)意識(shí)和技能。截止 2017年初，該計(jì)劃已檢測(cè)2228個(gè)開(kāi)源項(xiàng)目，獲得了大量的缺陷檢測(cè)基礎(chǔ)數(shù)據(jù)。本文即是在此之上進(jìn)行的統(tǒng)計(jì)和分析。

二、開(kāi)源項(xiàng)目檢測(cè)計(jì)劃數(shù)據(jù)和實(shí)例分析

從2015年初到2017年初兩年多時(shí)間中，360 代碼衛(wèi)士團(tuán)隊(duì)從GitHub、Sourceforge等代碼托管網(wǎng)站和開(kāi)源社區(qū)中選取了2228 個(gè)使用比較廣泛的開(kāi)源項(xiàng)目進(jìn)行檢測(cè)，涉及的開(kāi)發(fā)語(yǔ)言包括C/C++/C#/Java等。檢測(cè)代碼總量257,835,574行，發(fā)現(xiàn)源代碼缺陷2,626,352 個(gè)，所有檢測(cè)項(xiàng)目的總體平均缺陷密度為10.19個(gè)/千行。

針對(duì)安全缺陷檢測(cè)結(jié)果，360代碼衛(wèi)士團(tuán)隊(duì)從多個(gè)視角進(jìn)行了統(tǒng)計(jì)分析，并歸納總結(jié)出開(kāi)源軟件的安全現(xiàn)狀。本次分析主要從以下3個(gè)維度對(duì)檢測(cè)結(jié)果進(jìn)行說(shuō)明：

l 依據(jù)缺陷危害程度、可利用性、受關(guān)注度等因素，在所有缺陷類型中，選擇10大重要缺陷進(jìn)行數(shù)據(jù)統(tǒng)計(jì)，同時(shí)統(tǒng)計(jì)所有開(kāi)源項(xiàng)目中存在這些缺陷的比例，以展示開(kāi)源項(xiàng)目中重要缺陷的分布情況。

l 參考代碼托管網(wǎng)站和開(kāi)源社區(qū)的項(xiàng)目Fork值、下載量等指標(biāo)，選取20 個(gè)流行項(xiàng)目的檢測(cè)結(jié)果進(jìn)行深度分析，分析從缺陷總數(shù)、10大重要缺陷總數(shù)以及缺陷密度三個(gè)角度進(jìn)行，以說(shuō)明流行開(kāi)源項(xiàng)目的源代碼安全狀況。

l 綜合統(tǒng)計(jì)2228個(gè)被分析的開(kāi)源項(xiàng)目，排列出缺陷總數(shù)最高的10 個(gè)項(xiàng)目，以說(shuō)明安全風(fēng)險(xiǎn)相對(duì)較高的開(kāi)源項(xiàng)目的情況。

1、10大重要缺陷統(tǒng)計(jì)

在所有檢出缺陷種類中，依據(jù)缺陷類型的危害程度、受關(guān)注度等因素，選擇10類重要缺陷進(jìn)行檢測(cè)結(jié)果分析，圖1是10大重要缺陷統(tǒng)計(jì)列表（按檢出數(shù)量多少排序），圖2是10大重要缺陷在 2228個(gè)項(xiàng)目中出現(xiàn)的比率。

圖1 10大重要缺陷統(tǒng)計(jì)列表

統(tǒng)計(jì)結(jié)果顯示，在選取的10大重要缺陷中，檢出數(shù)量最多的是系統(tǒng)信息泄露，達(dá)到18萬(wàn)余個(gè)。而受到開(kāi)發(fā)人員普遍關(guān)注的缺陷，如SQL注入、跨站腳本也分別檢出4096和9614個(gè)，這兩類缺陷是web攻擊中最常見(jiàn)的兩類漏洞，可見(jiàn)它們依然是web應(yīng)用中修復(fù)的重點(diǎn)。

圖2 10大重要缺陷檢出比例

在本次檢測(cè)的2228個(gè)項(xiàng)目中，有高達(dá)82.99%的開(kāi)源項(xiàng)目存在10大重要漏洞，說(shuō)明這10類缺陷普遍存在，應(yīng)當(dāng)作為軟件安全保障的重點(diǎn)考慮問(wèn)題。

2、20個(gè)流行項(xiàng)目檢測(cè)結(jié)果

參考代碼托管網(wǎng)站和開(kāi)源社區(qū)的項(xiàng)目Fork值、下載量等指標(biāo)，團(tuán)隊(duì)選取了20個(gè)最受歡迎項(xiàng)目的檢測(cè)結(jié)果進(jìn)行了統(tǒng)計(jì)分析，圖3是20個(gè)流行項(xiàng)目缺陷數(shù)量統(tǒng)計(jì)表，圖4是20個(gè)流行項(xiàng)目出現(xiàn)10大重要缺陷數(shù)量統(tǒng)計(jì)表，圖5是20個(gè)流行項(xiàng)目缺陷密度統(tǒng)計(jì)。

圖3 20個(gè)流行項(xiàng)目缺陷總數(shù)

20個(gè)流行項(xiàng)目中，Guava項(xiàng)目檢出的安全缺陷數(shù)量最多，Guava是Google的一個(gè)開(kāi)源項(xiàng)目，包含許多 Google 核心的Java 常用庫(kù)。

圖4 20個(gè)流行項(xiàng)目中10大重要缺陷的總數(shù)

20個(gè)流行項(xiàng)目中，netty項(xiàng)目檢出10大重要缺陷的總數(shù)最多，達(dá)到384個(gè)，即該項(xiàng)目源代碼中存在高風(fēng)險(xiǎn)缺陷的數(shù)量較多。

圖5 20個(gè)流行項(xiàng)目缺陷密度統(tǒng)計(jì)