開源代碼組件安全審計研究

◆尹君 易榮 唐旭玥 王海林

（1.云南電網(wǎng)有限責(zé)任公司信息中心 云南 65000；2.云南云電同方科技有限公司 云南 650000）

1 引言

近些年隨著計算機科學(xué)技術(shù)的發(fā)展，應(yīng)用軟件的功能也隨著增大，與之對應(yīng)的就會使得源代碼的規(guī)模也大大增加，同時由于開源代碼本身的特點，這使得利用傳統(tǒng)的方法檢測代碼的安全漏洞工作難上加難。因此從源代碼的最原始位置出發(fā)，對其進(jìn)行檢測和分析，從而從根本上保護(hù)軟件和信息系統(tǒng)的安全，杜絕了代碼后門又能夠避免潛在的漏洞安全威脅，進(jìn)一步保障了信息安全。

對于計算機應(yīng)用軟件源代碼的審核工作，最常出現(xiàn)問題的是編碼階段，例如在SQL注入的階段、XSS跨站腳本攻擊等環(huán)節(jié)。解決這些最常見的問題的最優(yōu)方式是在軟件的源代碼中進(jìn)行修改，由此可見，在進(jìn)行應(yīng)用軟件信息保護(hù)的過程中，從最底層的源代碼著手，是解決該類問題的最有效手段。

2 開源代碼漏洞的類型

隨著開源代碼的發(fā)展，對于開源代碼漏洞的研究逐漸深入，分類也不盡相同，主要原因是研究者從不同的角度對其進(jìn)行劃分，因此對程序運行的影響也不同。通過對漏洞的分析，可以使得程序員對漏洞進(jìn)行全面的描述和把握。通常而言，按照不同的分列依據(jù)，潛在的分類屬性是其最根本的特征之一，因此這也是為漏洞賦予各種不同屬性的方式之一，通過這種方式可使得不同的漏洞類型具有各自的特征。常見漏洞如XSS漏洞、CSRF漏洞、Json-Hijacking漏洞、注入缺陷漏洞都是具有上述特征的典型代表。……