开源代码安全性堪忧 每千行就有25个缺陷

　　9月29日至30日，亚太信息安全领域最权威的年度峰会2015中国互联网安全大会（ISC 2015）在北京国家会议中心召开。在30日的漏洞挖掘与源代码安全论坛上，“360代码卫士”开源项目检测计划负责人韩建发表主题为“开源代码安全之痛”的演讲，指出了开源代码的风险与解决方案。

　　“360代码卫士”负责人韩建表示，因为开放源代码意味着开发者能拥有更多自由选择的权利，所以备受业内推崇。但源代码的开放性也有安全风险：OpenSSL被曝光重大安全漏洞Heartbleed；ElasticSearch爆出远程任意命令执行漏洞；Tomcat爆出严重安全漏洞攻击者可以利用这些漏洞，达到获取用户敏感信息、获取逐级最高权限等不法目的。

　　为了让广大开发者关注和了解开源代码安全问题，提高软件安全开发意识和技能，在漏洞挖掘与源代码安全论坛现场，韩建提出了“开源项目检测计划”。该计划已经对1010个Java开源项目进行了检测，总计发现1,646,035个源代码缺陷，缺陷密度25.02个/千行。

　　此外，韩建还为到场嘉宾展示了近年来“开源项目计划”的监测成果，包括十大Java严重缺陷统计、20个流行项目缺陷总数统计、缺陷数量Top10项目、缺陷密度Top10项目等等。

　　作为“360代码卫士”开源项目检测计划负责人，韩建一直从事源代码安全检测产品的开发和软件安全风险评估工作。同时，作为技术骨干韩建参与多项国家级、部委级科研课题，为多家企业事业单位提供过源代码安全服务，涵盖石油、电力、航空以及金融等行业，拥有丰富的经验。

　　针对开源代码切实存在的安全问题，韩建认为：“应该将软件开发当作标准化的工业生产对待，建立贯穿全生命周期的软件质量安全监测、追踪体系；并且设立原材料安全检测、安全生产规程检查、软件成品检测、统一代码质量监控中心等监督机构。”

　　据了解，此次2015年中国互联网安全大会（ISC 2015）作为亚太地区安全行业规模最大、影响力最高的行业盛会，吸引了来自美国、以色列、韩国等多国108位顶级安全智库和专家出席并发表演讲，同与会嘉宾、观众分享经验与成果。事实证明，经过三年的高速发展，中国互联网安全大会已经成长为网络安全行业世界级平台asp教程。多条件搜索asp源码的方法是哪个文件