论坛
BBS
空间测绘
发表
发布文章
提问答疑
搜索
您还未登录
登录后即可体验更多功能
立即登录
我的收藏
提问答疑
我要投稿
IOT
[10865] 2016-12-26_使用第三方库进行软件开发的安全风险研究
文档创建者:
s7ckTeam
浏览次数:
5
最后更新:
2025-01-18
IOT
5 人阅读
|
0 人回复
s7ckTeam
s7ckTeam
当前离线
积分
-54
6万
主题
-6万
回帖
-54
积分
管理员
积分
-54
发消息
2016-12-26_使用第三方库进行软件开发的安全风险研究
使
用
第
三
方
库
进
行
软
件
开
发
的
安
全
风
险
研
究
c
l
o
u
d
s
F
r
e
e
B
u
f
2
0
1
6
-
1
2
-
2
6
如
今
,
很
多
软
件
由
于
长
期
使
用
第
三
方
库
文
件
,
导
致
了
持
续
的
安
全
问
题
。
而
在
程
序
开
发
设
计
阶
段
,
开
发
者
又
经
常
忽
略
了
第
三
如
今
,
很
多
软
件
由
于
长
期
使
用
第
三
方
库
文
件
,
导
致
了
持
续
的
安
全
问
题
。
而
在
程
序
开
发
设
计
阶
段
,
开
发
者
又
经
常
忽
略
了
第
三
方
库
代
码
的
漏
洞
审
查
,
甚
至
有
些
资
源
库
(
方
库
代
码
的
漏
洞
审
查
,
甚
至
有
些
资
源
库
(
r
e
p
o
s
i
t
o
r
i
e
s
)
直
接
被
信
手
拈
来
使
用
,
从
根
本
上
就
缺
乏
了
安
全
审
计
。
)
直
接
被
信
手
拈
来
使
用
,
从
根
本
上
就
缺
乏
了
安
全
审
计
。
如
果
某
个
库
文
件
存
在
漏
洞
,
那
么
,
大
量
使
用
了
该
库
文
件
的
软
件
程
序
都
将
面
临
安
全
威
胁
。
这
种
场
景
,
在
现
实
世
界
中
已
经
有
了
血
淋
淋
的
证
明
:
如
O
p
e
n
S
S
L
中
出
现
的
心
脏
滴
血
漏
洞
(
H
e
a
r
t
b
l
e
e
d
)
、
G
N
U
B
a
s
h
出
现
的
破
壳
漏
洞
(
S
h
e
l
l
s
h
o
c
k
)
和
J
a
v
a
中
的
反
序
列
化
漏
洞
(
D
e
s
e
r
i
a
l
i
z
a
t
i
o
n
)
,
这
些
都
是
实
际
应
用
程
序
中
,
存
在
第
三
方
资
源
库
或
应
用
框
架
漏
洞
的
典
型
案
例
。
据
V
e
r
a
c
o
d
e
的
安
全
研
究
分
析
,
9
7
%
的
J
a
v
a
程
序
都
至
少
存
在
1
个
已
知
的
安
全
漏
洞
,
高
级
研
究
主
管
T
i
m
J
a
r
r
e
t
t
说
“
出
现
这
种
问
题
的
原
因
比
较
明
确
,
而
且
不
只
局
限
于
J
a
v
a
程
序
“
。
另
外
,
据
G
a
r
t
n
e
r
预
测
,
到
2
0
2
0
年
,
9
9
%
的
可
利
用
漏
洞
发
现
期
限
,
将
仍
然
是
安
全
专
业
人
士
已
知
至
少
1
年
以
上
的
,
所
以
,
建
议
企
业
必
须
尽
快
修
复
那
些
已
知
的
存
在
漏
洞
。
这
些
漏
洞
很
容
易
被
忽
略
,
但
与
事
后
弥
补
相
比
,
修
复
这
些
漏
洞
的
代
价
更
低
,
也
更
容
易
。
V
e
r
a
c
o
d
e
成
立
于
2
0
0
6
年
,
提
供
最
快
、
最
全
面
的
开
发
安
全
解
决
方
案
,
来
改
善
企
业
内
部
开
发
、
购
买
或
外
包
的
应
用
程
序
软
件
及
第
三
方
组
件
的
安
全
。
目
前
,
已
获
4
0
0
0
万
美
元
投
资
。
第
三
方
库
:
节
省
开
发
时
间
却
导
致
了
安
全
漏
洞
第
三
方
库
:
节
省
开
发
时
间
却
导
致
了
安
全
漏
洞
安
全
专
家
表
示
,
第
三
方
库
出
现
的
安
全
问
题
,
主
要
有
两
方
面
原
因
:
一
是
开
发
者
可
能
使
用
了
一
些
第
三
方
库
当
前
安
全
可
靠
的
代
码
,
但
是
在
后
期
却
被
发
现
了
漏
洞
问
题
;
另
外
是
,
开
发
者
在
项
目
中
没
有
经
过
仔
细
验
证
,
使
用
了
那
些
本
身
就
存
在
安
全
隐
患
的
第
三
方
库
代
码
。
S
o
n
a
t
y
p
e
副
主
管
D
e
r
e
k
W
e
e
k
s
说
,
”
虽
然
大
家
都
对
这
种
安
全
威
胁
比
较
重
视
,
但
对
大
多
数
程
序
员
来
说
,
开
源
库
和
第
三
方
资
源
就
像
把
双
刃
剑
,
节
省
开
发
时
间
的
同
时
将
会
带
来
安
全
漏
洞
”
。
S
o
n
a
t
y
p
e
是
一
家
软
件
管
理
工
具
提
供
商
,
它
提
供
一
些
经
过
仔
细
审
核
的
开
源
代
码
库
,
并
致
力
于
跟
踪
和
监
控
各
个
开
源
代
码
模
块
,
以
减
少
软
件
开
发
过
程
中
的
b
u
g
以
及
兼
容
性
和
安
全
性
问
题
。
目
前
已
获
7
0
0
0
万
美
元
投
资
。
S
o
n
a
t
y
p
e
在
对
2
5
0
0
0
个
应
用
程
序
进
行
分
析
后
发
现
,
7
%
的
程
序
由
于
使
用
了
不
安
全
的
组
件
而
存
在
至
少
1
种
安
全
缺
陷
。
G
i
t
H
u
b
、
B
i
t
b
u
c
k
e
t
、
P
y
t
h
o
n
P
a
c
k
a
g
e
I
n
d
e
x
和
N
u
G
e
t
G
a
l
l
e
r
y
等
资
源
库
,
将
会
帮
助
开
发
者
发
现
他
们
在
软
件
项
目
中
所
需
的
代
码
和
功
能
实
现
,
以
J
a
v
a
开
发
者
为
例
,
他
们
可
以
使
用
这
些
资
源
库
中
的
加
密
处
理
功
能
,
或
其
它
可
视
化
数
据
处
理
模
块
。
D
e
r
e
k
W
e
e
k
s
表
示
,
现
代
软
件
不
再
依
靠
一
字
一
行
的
代
码
编
写
,
无
论
一
个
成
熟
的
应
用
程
序
多
么
新
颖
独
特
,
其
中
8
0
%
的
代
码
都
来
源
于
第
三
方
资
源
库
或
组
件
。
他
同
时
强
调
,
企
业
对
信
息
系
统
软
件
的
依
赖
程
度
将
不
断
增
加
,
但
大
多
数
构
成
软
件
的
关
键
开
源
资
源
库
,
却
未
经
安
全
审
核
,
存
在
着
各
种
不
同
程
度
的
安
全
问
题
。
以
S
o
n
a
t
y
p
e
自
己
提
供
下
载
的
第
三
方
资
源
库
为
例
,
2
0
1
5
年
,
该
资
源
库
中
的
开
源
和
第
三
方
软
件
组
件
下
载
量
达
3
1
0
亿
次
,
而
2
0
1
4
年
为
1
7
0
亿
次
。
而
S
o
n
a
t
y
p
e
对
自
身
资
源
库
进
行
安
全
审
核
后
发
现
,
在
被
下
载
的
代
码
库
中
,
将
近
有
6
.
1
%
存
在
安
全
漏
洞
。
D
e
r
e
k
W
e
e
k
s
声
称
,
S
o
n
a
t
y
p
e
比
其
它
资
源
库
管
理
应
用
做
的
好
,
是
因
为
其
设
置
了
代
码
管
理
工
具
、
使
用
指
导
和
相
应
的
警
告
预
警
以
帮
助
开
发
者
避
免
使
用
存
在
安
全
隐
患
的
缺
陷
代
码
。
N
T
T
C
o
m
S
e
c
u
r
i
t
y
首
席
顾
问
S
t
e
p
h
e
n
B
r
e
e
n
说
,
缺
陷
代
码
在
开
发
过
程
中
将
会
导
致
很
多
问
题
,
就
算
整
个
开
发
团
队
都
有
很
强
的
安
全
意
识
,
但
在
严
格
的
验
收
期
限
内
,
个
别
或
少
数
开
发
者
忽
略
了
软
件
中
使
用
的
第
三
方
代
码
安
全
审
查
情
况
,
也
不
能
避
免
。
B
r
e
e
n
强
调
,
如
果
某
个
不
安
全
的
问
题
组
件
被
一
个
软
件
程
序
使
用
,
而
这
个
软
件
程
序
将
被
应
用
于
另
外
一
个
大
型
系
统
中
,
这
种
层
层
复
用
,
将
最
终
形
成
安
全
问
题
的
“
雪
球
效
应
”
。
最
典
型
的
例
子
,
就
是
2
0
1
5
年
的
A
p
a
c
h
e
C
o
m
m
o
n
s
C
o
l
l
e
c
t
i
o
n
s
(
c
o
m
m
o
n
s
-
c
o
l
l
e
c
t
i
o
n
s
-
3
.
2
.
1
.
j
a
r
)
反
序
列
化
漏
洞
。
据
V
e
r
a
c
o
d
e
研
究
发
现
,
目
前
,
仍
然
还
有
1
3
0
0
多
个
旧
版
本
的
漏
洞
实
例
存
在
于
大
量
J
a
v
a
程
序
中
,
这
些
程
序
使
用
了
S
p
r
i
n
g
H
i
b
e
r
n
a
t
e
框
架
和
其
它
多
个
资
源
库
代
码
。
开
发
者
在
开
发
过
程
中
选
择
了
S
p
r
i
n
g
H
i
b
e
r
n
a
t
e
框
架
,
但
他
们
却
没
意
识
到
其
中
同
样
也
包
含
了
A
p
a
c
h
e
C
o
m
m
o
n
C
o
l
l
e
c
t
i
o
n
s
,
然
后
,
C
o
m
m
o
n
C
o
l
l
e
c
t
i
o
n
s
库
随
之
被
应
用
于
数
千
上
万
的
软
件
开
发
项
目
中
。
A
p
a
c
h
e
C
o
m
m
o
n
s
C
o
l
l
e
c
t
i
o
n
s
已
经
成
为
J
a
v
a
程
序
中
最
常
见
的
组
件
。
另
据
V
e
r
a
c
o
d
e
对
3
0
万
例
J
a
v
a
程
序
检
测
发
现
,
其
中
2
5
%
的
程
序
都
未
能
及
时
打
补
丁
,
存
在
A
p
a
c
h
e
反
序
列
化
漏
洞
。
由
于
使
用
了
存
在
漏
洞
的
库
和
框
架
组
件
,
对
开
发
者
来
说
,
最
头
疼
的
是
,
如
何
更
新
升
级
这
些
应
用
程
序
。
“
就
像
存
在
故
障
的
汽
车
安
全
气
囊
一
样
,
汽
车
制
造
商
在
数
百
万
车
辆
中
配
置
了
这
些
气
囊
,
当
出
现
问
题
之
后
,
大
家
通
常
认
为
应
该
汽
车
制
造
商
来
解
决
这
个
问
题
,
而
不
是
安
全
气
囊
制
造
商
”
,
V
e
r
a
c
o
d
e
研
究
主
管
J
a
r
r
e
t
t
说
。
第
三
方
库
代
码
漏
洞
、
加
密
缺
陷
、
注
入
漏
洞
第
三
方
库
代
码
漏
洞
、
加
密
缺
陷
、
注
入
漏
洞
V
e
r
a
c
o
d
e
声
称
,
A
p
a
c
h
e
C
o
m
m
o
n
C
o
l
l
e
c
t
i
o
n
的
漏
洞
实
例
只
是
冰
山
一
角
。
V
e
r
a
c
o
d
e
曾
对
大
量
存
在
漏
洞
的
应
用
程
序
进
行
检
测
分
析
,
发
现
由
于
第
三
方
代
码
缺
陷
导
致
的
信
息
泄
露
漏
洞
占
比
高
达
7
2
%
,
其
次
是
占
比
6
5
%
的
加
密
漏
洞
,
最
后
是
注
入
和
跨
站
漏
洞
。
这
些
问
题
综
合
说
明
了
各
种
软
件
产
品
对
开
源
组
件
不
断
增
强
的
依
赖
性
,
以
联
邦
政
府
为
例
,
在
选
择
开
发
公
司
方
面
,
它
以
开
源
策
略
优
先
。
W
e
e
k
s
强
调
,
“
使
用
第
三
方
库
不
但
可
以
缩
短
开
发
时
间
,
在
某
种
意
义
上
来
说
,
还
能
提
高
软
件
安
全
和
质
量
水
平
,
另
外
,
还
可
以
让
开
发
者
更
加
专
注
于
新
功
能
新
特
性
的
架
构
。
如
果
利
用
得
当
,
对
程
序
员
来
说
,
第
三
方
库
的
代
码
重
用
简
直
就
是
天
赐
良
机
,
可
以
帮
大
忙
的
事
”
。
出
于
这
些
原
因
,
安
全
专
家
呼
吁
软
件
行
业
是
时
候
应
该
考
虑
代
码
安
全
问
题
了
。
S
o
n
a
t
y
p
e
公
司
甚
至
还
发
起
了
”
软
件
生
成
标
准
“
的
响
应
,
以
规
范
开
发
者
在
使
用
开
源
框
架
前
后
的
代
码
安
全
审
查
,
同
时
方
便
那
些
使
用
存
在
漏
洞
库
存
的
程
序
进
行
安
全
更
新
。
S
o
n
a
t
y
p
e
的
前
述
调
查
中
表
明
,
在
1
6
个
程
序
组
件
中
至
少
有
1
个
存
在
漏
洞
隐
患
。
W
e
e
k
s
认
为
,
问
题
可
能
出
在
一
些
开
发
者
的
否
认
或
无
知
态
度
,
他
们
选
择
了
一
些
不
安
全
的
程
序
组
件
。
而
S
o
u
r
c
e
F
o
r
g
e
总
裁
L
o
g
a
n
A
b
b
o
t
t
则
表
态
,
“
如
果
在
S
o
u
r
c
e
F
o
r
g
e
托
管
的
资
源
库
中
,
发
现
存
在
一
些
恶
意
或
缺
陷
代
码
库
,
我
们
会
及
时
通
知
警
告
用
户
。
我
们
会
扫
描
资
源
库
中
的
二
进
制
漏
洞
,
但
不
对
所
有
托
管
代
码
进
行
安
全
审
查
。
第
三
方
资
源
库
平
台
:
我
们
仅
只
是
负
责
托
管
第
三
方
资
源
库
平
台
:
我
们
仅
只
是
负
责
托
管
接
受
记
者
采
访
的
多
个
第
三
方
资
源
库
负
责
人
表
示
,
他
们
仅
只
是
提
供
储
存
共
享
公
开
或
私
密
内
容
的
一
个
类
似
于
云
存
储
服
务
的
平
台
,
他
们
不
会
限
制
用
户
的
托
管
代
码
。
这
些
第
三
方
资
源
库
负
责
人
认
为
,
要
从
根
本
上
避
免
软
件
漏
洞
,
主
要
责
任
应
该
在
于
开
发
者
,
而
不
是
第
三
方
资
源
库
平
台
。
想
要
编
写
良
好
无
漏
洞
的
代
码
,
首
先
得
从
那
些
安
全
的
资
源
库
中
去
学
习
借
鉴
。
B
i
t
B
u
c
k
e
t
是
一
家
源
代
码
托
管
网
站
,
采
用
M
e
r
c
u
r
i
a
l
和
G
i
t
作
为
分
布
式
版
本
控
制
系
统
,
同
时
提
供
商
业
计
划
和
免
费
账
户
。
其
市
场
经
理
R
a
h
u
l
C
h
h
a
b
r
i
a
声
称
,
“
B
i
t
b
u
c
k
e
t
于
开
发
者
就
像
家
得
宝
与
木
匠
的
关
系
,
我
们
配
置
了
多
种
工
具
以
方
便
开
发
者
更
好
地
应
用
托
管
代
码
。
B
i
t
B
u
c
k
e
t
中
提
供
了
一
系
列
的
代
码
缺
陷
检
测
工
具
,
如
对
依
赖
链
进
行
安
全
审
查
的
S
o
u
r
c
e
C
l
e
a
r
等
;
另
外
,
B
i
t
B
u
c
k
e
t
还
允
许
团
队
软
件
项
目
开
发
和
简
化
的
同
行
评
审
机
制
;
其
次
,
B
i
t
B
u
c
k
e
t
具
有
的
管
道
模
式
特
点
也
能
帮
助
开
发
者
提
高
代
码
质
量
。
G
i
t
h
u
b
是
最
大
的
开
源
资
源
库
,
目
前
,
它
托
管
着
4
9
0
0
万
个
公
共
和
私
人
项
目
,
拥
有
1
8
0
0
万
用
户
。
据
其
安
全
负
责
人
S
h
a
w
n
D
a
v
e
n
p
o
r
t
介
绍
,
G
i
t
h
u
b
不
对
托
管
代
码
进
行
审
查
或
警
告
,
用
户
可
以
根
据
需
求
使
用
第
三
方
工
具
,
如
G
e
m
n
a
s
i
u
m
、
B
r
a
k
e
m
a
n
和
C
o
d
e
C
l
i
m
a
t
e
等
,
进
行
代
码
动
态
或
静
态
分
析
。
D
a
v
e
n
p
o
r
t
说
,
“
很
多
托
管
项
目
都
存
在
安
全
隐
患
,
我
们
只
能
尽
量
保
证
整
个
资
源
库
的
安
全
,
同
时
让
用
户
明
白
他
们
需
要
什
么
样
的
代
码
审
查
工
具
。
从
项
目
角
度
来
说
,
安
全
并
不
是
开
发
者
的
首
要
责
任
”
。
据
D
a
v
e
n
p
o
r
t
估
计
,
G
i
t
h
u
b
上
只
有
少
数
用
户
在
使
用
代
码
安
全
审
查
工
具
。
其
它
第
三
方
资
源
库
平
台
则
告
诉
作
者
,
他
们
有
意
采
取
不
干
涉
态
度
,
一
方
面
是
因
为
其
不
具
备
代
码
审
查
技
术
能
力
,
另
外
,
他
们
认
为
这
不
是
他
们
的
职
责
所
在
。
他
们
指
出
,
代
码
存
在
缺
陷
与
否
,
事
关
开
发
者
的
所
有
代
码
,
甚
至
是
一
些
旧
的
程
序
组
件
。
用
自
动
化
扫
描
技
术
来
弥
补
?
用
自
动
化
扫
描
技
术
来
弥
补
?
如
果
要
从
根
本
上
解
决
开
源
库
的
安
全
问
题
,
一
种
方
法
就
是
在
软
件
开
发
早
期
使
用
自
动
化
的
代
码
漏
洞
和
配
置
审
查
扫
描
工
具
。
据
G
a
r
t
n
e
r
预
计
,
到
2
0
1
9
年
,
超
过
7
0
%
的
企
业
开
发
活
动
都
将
集
成
自
动
化
安
全
审
查
扫
描
工
具
,
而
目
前
,
这
个
比
例
才
占
到
1
0
%
。
N
o
d
e
.
j
s
开
源
基
金
会
成
立
了
N
o
d
e
.
j
s
S
e
c
u
r
i
t
y
P
r
o
j
e
c
t
项
目
,
致
力
于
推
动
N
o
d
e
.
j
s
平
台
健
康
发
展
,
其
目
标
是
为
开
发
者
提
供
发
现
和
披
露
N
o
d
e
.
j
s
系
统
漏
洞
的
处
理
机
制
。
据
N
o
d
e
.
j
s
官
方
介
绍
,
该
项
目
除
了
开
发
者
的
主
动
发
现
外
,
还
包
括
了
一
些
漏
洞
数
据
库
和
不
同
社
区
交
流
的
漏
洞
审
查
和
披
露
。
W
e
e
k
s
说
,
“
这
不
关
安
全
专
家
的
事
,
而
是
我
们
应
该
如
何
明
确
软
件
需
求
并
授
权
开
发
,
在
这
种
情
况
下
,
解
决
方
法
的
核
心
就
在
于
软
件
开
发
方
面
,
同
时
还
需
引
入
一
些
新
的
方
法
理
念
”
。
*
参
考
来
源
:
t
h
r
e
a
t
p
o
s
t
,
F
B
小
编
c
l
o
u
d
s
编
译
,
转
载
请
注
明
来
自
F
r
e
e
B
u
f
.
C
O
M
阅
读
原
文
回复
举报
上一个主题
下一个主题
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
!disable!!post_parseurl!
使用Markdown编辑器编辑
使用富文本编辑器编辑
回帖后跳转到最后一页
发表
IOT