近日，CNCERT发布了《开源软件代码安全缺陷分析报告》，该报告聚焦国内知名互联网公司的软件安全开发现状，通过检测公司旗下多款开源软件产品的安全缺陷，评估各公司的代码安全控制情况。360代码卫士团队为该报告提供了技术支持。

随着软件技术飞速发展，开源软件已在全球范围内得到了广泛应用。数据显示，从2012年起，已有超过80%的商业软件使用开源软件。开源软件的代码一旦存在安全问题，必将造成广泛、严重的影响。

为了解开源软件的安全情况，CNCERT持续对广泛使用的知名开源软件进行源代码安全缺陷分析，并发布季度安全缺陷分析报告。本期报告聚焦国内知名互联网公司阿里巴巴、腾讯、百度、网易、新浪，综合考虑用户数量、受关注程度等情况，选取了这些公司旗下的20款具有代表性的开源项目，通过检测公司旗下多款开源软件产品的安全缺陷，评估各公司的代码安全控制情况，结合缺陷扫描工具和人工审计的结果，对各公司的项目安全性进行评比。

报告中对不同互联网公司的产品安全性概况进行对比，下图展示了每个公司在本次测试中检测出的高危、中危缺陷总数，以及以公司为单位统计的每千行缺陷数。

图互联网公司产品安全性对比图

由于每个公司的项目被检测出缺陷的绝对数量与项目数量、项目大小相关，不能直接反映公司的产品安全性，因此本部分重点关注每千行缺陷数。根据该数据，阿里巴巴的总体产品安全性较高，平均每一千行代码仅包含0.3个安全缺陷。

本期报告还将之前对国外知名互联网公司Google、Twitter、Facebook旗下的12款开源项目安全性评估结果，与本次国内产品的测试结果进行了对比。由于项目的绝对缺陷数量与项目大小有关，因此本部分主要针对安全缺陷密度（即每千行代码平均包含的安全缺陷数量）开展对比。下图展示了国内外互联网公司产品的缺陷密度对比情况。可以明显看到，总体而言，这三家国外公司在产品的安全缺陷方面控制的较为严格，其产品安全性显著优于国内互联网公司的平均水平，国内互联网公司的软件开发安全意识有待提高。同时值得一提的是，根据本次评估结果，阿里巴巴在产品安全缺陷控制方面表现不俗，能够代表国内一流水平，且优于国外公司Twitter。

图国内外互联网公司产品安全缺陷密度对比