今天chris eng在他的minimize attack surface part 2中提到了一些关于第三方代码安全的问题。

实际上这个也是我们头疼的问题，我想不光我们公司如此，基本上所有公司都会头疼这个问题。

很自然的回想起以前QQ的溢出，就是由于处理图片上调用的是第三方的开源代码，直接copy过来的，结果人家有个溢出，于是乎，QQ也被溢出了。

类似的问题还有暴风影音等诸多视频播放软件，集成了quicktime的播放插件；某一天，quicktime溢出漏洞被曝光，而这些视频软件的更新没有跟上，于是也跟着被溢出了。

其实从漏洞挖掘来说，去找一些第三方库的漏洞，是一个很不错的着手方向。比如去code project上一个个的翻那些比较容易被集成的，比如画图类，比如通信类等等。很多程序员都是直接从上面原封不动的copy代码回来的，那么，很可能就连漏洞也一起copy回来了。

前不久的debian平台上的openssl库的random feed漏洞，也是属于这一类库漏洞导致应用受到威胁；直接后果就是导致ssh、ssl证书都处于风险中。

正如chris描述的，程序员往往不知道某个第三方API的具体实现过程，仅仅知道如何去调用；如果采用堵的方式，安全上的维护成本会越来越大。

从安全的角度来说，是应该要审核所有第三方代码的。在ali, 所有第三方写的代码或项目只有经过安全部门的审核才能上线。这样做也是希望可以尽可能的把不可控的风险降到最低。