分析報告http://hn.cvecn.com/detail.php?md5=429824f12a56b25c2286404a7eef5a14

隨著開源社區的蓬勃發展，現在很難找到一款完全不包含任何開源組件的程序。而開源組件的安全性問題卻沒有得到足夠重視，甚至有人認為開源軟件都是安全的，其實不然。

開源安全的特點：

1. 由於源代碼公開，所有發現的漏洞都會被第一時間公布，因此也容易被攻擊者利用

2. 開源組件的作者通常都會在發現問題後立刻修復並發布新版本，而軟件的最終用戶往往得不到最及時的更新。

3. 在軟件開發和驗收過程中，人們往往無法準確判斷軟件裏包含哪些開源組件，是否存在嚴重安全隱患。

中國開源安全聯盟(www.cvecn.com)部分的解決了這些開源漏洞的定位問題。聯盟在其官網上提供免費二進制可執行文件掃描服務。可以對exe, jar, apk, ipk, iso, bin, dll,dmg, pkg等多種二進制文件進行掃描，不僅能定位開源漏洞並提供CVE編號和修補方案，還能分析出所使用的開源組件清單，據說使用的是國際上律師事務所和知識產權海關同樣的分析技術。

在2006年的LinuxWorld大會上，Linux內核維護人考克斯強調，有相當數量的資金被用來攻擊開放源代碼系統。他警告說，許多開放源代碼項目遠談不上安全，許多資金都被用來破壞開放源代碼系統的安全。媒體上經常有這樣的字眼：開放源代碼軟件更安全、更可靠，缺陷也更少。這是一種危險的觀點。

CVE 是國際著名的安全漏洞庫，也是對已知漏洞和安全缺陷的標準化名稱的列表，它是一個由企業界、政府界和學術界綜合參與的國際性組織，采取一種非盈利的組織形式，其使命是為了能更加快速而有效地鑒別、發現和修復軟件產品的安全漏洞。在風險評估中最重要也是最困難的兩個環節就是風險的量化，以及找到風險項後如何尋找控制措施。CVE給了我們非常好的指導去進行風險評估中的技術評估。用戶完全可以參考CVE字典和相應的數據庫建立自己企業的風險評估指標體系，而且所有的這些風險項都可以通過CVE索引迅速地找到相應的修補控制措施。

某安全瀏覽器竟然也被查出高危漏洞？開源安全問題不容忽視