返回目录:金融新闻
9月29日至30日,亚太信息安全领域最权威的年度峰会——2015中国互联网安全大会(ISC 2015)在北京国家会议中心召开。在30日的漏洞挖掘与源代码安全论坛上,“360代码卫士”开源项目检测计划负责人韩建发表主题为“开源代码安全之痛”的演讲,指出了开源代码的风险与解决方案。
图1:韩建现场讲解开源代码的不安全性
“360代码卫士”负责人韩建表示,因为开放源代码意味着开发者能拥有更多自由选择的权利,所以备受业内推崇。但源代码的开放性也有安全风险:OpenSSL被曝光重大安全漏洞Heartbleed;ElasticSearch爆出远程任意命令执行漏洞;Tomcat爆出严重安全漏洞……攻击者可以利用这些漏洞,达到获取用户敏感信息、获取逐级最高权限等不法目的。
为了让广大开发者关注和了解开源代码安全问题,提高软件安全开发意识和技能,在漏洞挖掘与源代码安全论坛现场,韩建提出了“开源项目检测计划”。该计划已经对1010个Java开源项目进行了检测,总计发现1,646,035个源代码缺陷,缺陷密度25.02个/千行。
此外,韩建还为到场嘉宾展示了近年来“开源项目计划”的监测成果,包括十大Java严重缺陷统计、20个流行项目缺陷总数统计、缺陷数量Top10项目、缺陷密度Top10项目等等。
图2:论坛现场人气火爆
作为“360代码卫士”开源项目检测计划负责人,韩建一直从事源代码安全检测产品的开发和软件安全风险评估工作。同时,作为技术骨干韩建参与多项国家级、部委级科研课题,为多家企业事业单位提供过源代码安全服务,涵盖石油、电力、航空以及金融等行业,拥有丰富的经验。
针对开源代码切实存在的安全问题,韩建认为:“应该将软件开发当作标准化的工业生产对待,建立贯穿全生命周期的软件质量安全监测、追踪体系;并且设立原材料安全检测、安全生产规程检查、软件成品检测、统一代码质量监控中心等监督机构。”
据了解,此次2015年中国互联网安全大会(ISC 2015)作为亚太地区安全行业规模最大、影响力最高的行业盛会,吸引了来自美国、以色列、韩国等多国108位顶级安全智库和专家出席并发表演讲,同与会嘉宾、观众分享经验与成果。事实证明,经过三年的高速发展,中国互联网安全大会已经成长为网络安全行业世界级平台。