分析报告http://hn.cvecn.com/detail.php?md5=429824f12a56b25c2286404a7eef5a14
随着开源社区的蓬勃发展,现在很难找到一款完全不包含任何开源组件的程序。而开源组件的安全性问题却没有得到足够重视,甚至有人认为开源软件都是安全的,其实不然。
开源安全的特点:
1. 由于源代码公开,所有发现的漏洞都会被第一时间公布,因此也容易被攻击者利用
2. 开源组件的作者通常都会在发现问题后立刻修复并发布新版本,而软件的最终用户往往得不到最及时的更新。
3. 在软件开发和验收过程中,人们往往无法准确判断软件里包含哪些开源组件,是否存在严重安全隐患。
中国开源安全联盟(www.cvecn.com)部分的解决了这些开源漏洞的定位问题。联盟在其官网上提供免费二进制可执行文件扫描服务。可以对exe, jar, apk, ipk, iso, bin, dll,dmg, pkg等多种二进制文件进行扫描,不仅能定位开源漏洞并提供CVE编号和修补方案,还能分析出所使用的开源组件清单,据说使用的是国际上律师事务所和知识产权海关同样的分析技术。
在2006年的LinuxWorld大会上,Linux内核维护人考克斯强调,有相当数量的资金被用来攻击开放源代码系统。他警告说,许多开放源代码项目远谈不上安全,许多资金都被用来破坏开放源代码系统的安全。媒体上经常有这样的字眼:开放源代码软件更安全、更可靠,缺陷也更少。这是一种危险的观点。
CVE 是国际著名的安全漏洞库,也是对已知漏洞和安全缺陷的标准化名称的列表,它是一个由企业界、政府界和学术界综合参与的国际性组织,采取一种非盈利的组织形式,其使命是为了能更加快速而有效地鉴别、发现和修复软件产品的安全漏洞。在风险评估中最重要也是最困难的两个环节就是风险的量化,以及找到风险项后如何寻找控制措施。CVE给了我们非常好的指导去进行风险评估中的技术评估。用户完全可以参考CVE字典和相应的数据库建立自己企业的风险评估指标体系,而且所有的这些风险项都可以通过CVE索引迅速地找到相应的修补控制措施。