开源代码安全之痛 主要   内容   1、开源软件安全事件带来的思考   2、开源项目检测计划和实例分析   3、软件代码安全解决之道   开源软件安全事件   OpenSSL是一个开源的安全套接字层密码库，2014年曝光重大安全漏洞 Heartbleed。攻击者通过构造异常的数据包进行攻击，获取用户敏感信息。   ElasticSearch是全文搜索引擎开源代码项目。2014年和2015年分别爆出远程任 意命令执行漏洞。攻击者可利用远程任意命令执行漏洞获取主机最高权限。   Struts2是Apache软件基金会赞助的一个开源项目，近年来频繁爆发安全漏洞。 影响国内电商、银行、运营商等诸多大型网站和为数众多的政府网站。   Tomcat是一个免费的开源的Serlvet容器，2014年爆出严重的安全漏洞，其中包 括多个DoS漏洞和信息泄露漏洞。   开源软件的思考       基础原材料   2010年，Gartner采访了来自11个国家的547位公司负责人，在被调查的公司当中超过 一半采用了开源软件作为其IT战略的组成部分。       安全性   2012年，Aspect Security和Sonatype公开的一份调查报告显示，最受欢迎的31个开源 项目中，其不安全的版本被下载了超过4,600万次。   法律风险   开源不等于免费，开源软件许可协议背后的条条框框你清楚吗？ 主要   内容   1、开源软件安全事件带来的思考   2、开源项目检测计划和实例分析   3、软件代码安全解决之道   开源项目检测计划   开源项目检测计划（www.codesafe.cn）是由360代 码卫士团队发起，针对开源项目进行的一项公益安全检 测计划，旨在让广大开发者关注和了解开源代码安全问 题，提高软件安全开发意识和技能。     注：开源项目检测计划使用的检测工具是360自主研发的源代码检测引 擎“代码卫士”。   开源项目检测计划—开源项目检测概况   目前已检测1010个Java开源项目，检测代码总量65,800,663行，总计发 现1,646,035个源代码缺陷，缺陷密度25.02个/千行。 开源项目检测计划—十大JAVA严重缺陷统计   开源项目检测计划—20个流行项目   开源项目检测计划—20个流行项目缺陷总数统计   开源项目检测计划—20个流行项目十大JAVA重 要缺陷数量统计   开源项目检测计划—缺陷数量TOP  10项目   开源项目检测计划—缺陷密度TOP  10项目   实例分析1—某开源论坛项目XSS漏洞   实例分析2—某开源论坛项目SQL注入漏洞