開(kāi)源監(jiān)控軟件Zabbix安全性評(píng)測(cè)研究.pdf

1、當(dāng)前，開(kāi)源軟件因其源碼開(kāi)放、擴(kuò)展性強(qiáng)、使用門(mén)檻低等優(yōu)勢(shì)受到人們的青睞，在各領(lǐng)域得到廣泛應(yīng)用。然而，由于人們對(duì)開(kāi)源軟件安全性重視程度不夠、安全檢測(cè)機(jī)制不完善等原因，開(kāi)源軟件近年來(lái)相繼爆出HeartBleed、ShellShock等安全事件，警醒了世人。因此，論文從開(kāi)源軟件安全性評(píng)測(cè)的視角，對(duì)應(yīng)用廣泛的開(kāi)源監(jiān)控軟件Zabbix進(jìn)行了研究。
　　論文首先針對(duì)近年來(lái)開(kāi)源軟件爆出的安全事件進(jìn)行了分析，并對(duì)漏洞產(chǎn)生原因進(jìn)行了反思。接著，論文分

2、析了軟件安全性，總結(jié)了軟件安全性測(cè)試內(nèi)容，重點(diǎn)探討了B/S架構(gòu)軟件的安全性測(cè)試方法，為論文的研究工作打下了基礎(chǔ)。
　　論文應(yīng)用軟件成熟度評(píng)估理論，構(gòu)建了一個(gè)適用于開(kāi)源軟件的安全性評(píng)測(cè)模型。評(píng)測(cè)模型的內(nèi)在指標(biāo)包括代碼質(zhì)量、用戶(hù)安全、前端穩(wěn)定、數(shù)據(jù)存儲(chǔ)和后臺(tái)安全，外在指標(biāo)包括社區(qū)活躍度和軟件支持度。內(nèi)在指標(biāo)和外在指標(biāo)逐層細(xì)化分為七個(gè)一級(jí)指標(biāo)和十七個(gè)二級(jí)指標(biāo)。將軟件安全性分為五個(gè)等級(jí)，同時(shí)給出了相應(yīng)的劃分標(biāo)準(zhǔn)及權(quán)重設(shè)定方法。最后，基于測(cè)

3、試模型，詳細(xì)論述測(cè)試流程，給出設(shè)計(jì)思想，分析測(cè)試優(yōu)先級(jí)，介紹測(cè)試工具。該安全性評(píng)測(cè)模型的建立能夠?yàn)殚_(kāi)源軟件的開(kāi)發(fā)與技術(shù)應(yīng)用提供重要依據(jù)。
　　最后，本文應(yīng)用提出的基于成熟度的開(kāi)源軟件安全性評(píng)測(cè)模型，對(duì)企業(yè)級(jí)開(kāi)源分布式監(jiān)控系統(tǒng)Zabbix進(jìn)行了安全性評(píng)測(cè)。先通過(guò)代碼質(zhì)量管理軟件Sonar對(duì)Zabbix進(jìn)行了檢測(cè)，在代碼層分析軟件內(nèi)部存在的漏洞問(wèn)題，再借助單元測(cè)試等方法對(duì)其API、邊界值等問(wèn)題進(jìn)行檢查，隨后使用自動(dòng)化測(cè)試方法對(duì)用戶(hù)安全