開源監(jiān)控軟件Zabbix安全性評測研究.pdf

1、當(dāng)前，開源軟件因其源碼開放、擴(kuò)展性強(qiáng)、使用門檻低等優(yōu)勢受到人們的青睞，在各領(lǐng)域得到廣泛應(yīng)用。然而，由于人們對開源軟件安全性重視程度不夠、安全檢測機(jī)制不完善等原因，開源軟件近年來相繼爆出HeartBleed、ShellShock等安全事件，警醒了世人。因此，論文從開源軟件安全性評測的視角，對應(yīng)用廣泛的開源監(jiān)控軟件Zabbix進(jìn)行了研究。
　　論文首先針對近年來開源軟件爆出的安全事件進(jìn)行了分析，并對漏洞產(chǎn)生原因進(jìn)行了反思。接著，論文分

2、析了軟件安全性，總結(jié)了軟件安全性測試內(nèi)容，重點(diǎn)探討了B/S架構(gòu)軟件的安全性測試方法，為論文的研究工作打下了基礎(chǔ)。
　　論文應(yīng)用軟件成熟度評估理論，構(gòu)建了一個適用于開源軟件的安全性評測模型。評測模型的內(nèi)在指標(biāo)包括代碼質(zhì)量、用戶安全、前端穩(wěn)定、數(shù)據(jù)存儲和后臺安全，外在指標(biāo)包括社區(qū)活躍度和軟件支持度。內(nèi)在指標(biāo)和外在指標(biāo)逐層細(xì)化分為七個一級指標(biāo)和十七個二級指標(biāo)。將軟件安全性分為五個等級，同時給出了相應(yīng)的劃分標(biāo)準(zhǔn)及權(quán)重設(shè)定方法。最后，基于測

3、試模型，詳細(xì)論述測試流程，給出設(shè)計思想，分析測試優(yōu)先級，介紹測試工具。該安全性評測模型的建立能夠為開源軟件的開發(fā)與技術(shù)應(yīng)用提供重要依據(jù)。
　　最后，本文應(yīng)用提出的基于成熟度的開源軟件安全性評測模型，對企業(yè)級開源分布式監(jiān)控系統(tǒng)Zabbix進(jìn)行了安全性評測。先通過代碼質(zhì)量管理軟件Sonar對Zabbix進(jìn)行了檢測，在代碼層分析軟件內(nèi)部存在的漏洞問題，再借助單元測試等方法對其API、邊界值等問題進(jìn)行檢查，隨后使用自動化測試方法對用戶安全