随着云计算的发展,OpenStack作为云计算中的佼佼者,被各个行业密切关注和使用。随之而来,OpenStack的安全考验也越来越多。一些学者关注于扫描OpenStack的漏洞,但对配置核查关注较少,且没有深入研究因OpenStack组件互联而引发更大的系统危害。本文对OpenStack的安全评估方案进行研究,从安全配置出发,充分考虑到OpenStack组件互联的复杂性,利用配置核查和漏洞树的方式自动化生成对OpenStack的安全性评估。具体成果有:1.提出了基于配置核查和漏洞库的配置违规自动漏洞预测方案。该方案通过对安全配置清单和漏洞库的分析,根据配置项自身的特点进行关键字提取,对漏洞库进行模糊关键字匹配,从而自动化的预测安全配置违规容易引发的漏洞。经验证该方案具有较高的有效性和执行效率,可以对配置违规项进行有效的漏洞预测。2.提出了基于漏洞树的OpenStack安全评估方案。该方案对现有的OpenStack漏洞树结构进行了改进,通过输入漏洞库信息和漏洞树结构,根据故障树的原理,对现有漏洞树进行底事件扩充,利用计算机辅助生成技术自动生成漏洞树,并进行定性分析和定量分析。该方案克服了现有漏洞树无法进行实例分析的困难,实现了 OpenStack漏洞树分析。3.针对本文的具体成果,设计了一款面向OpenStack安全性评估的系统,系统可以读取安全配置清单列表,通过爬取漏洞库和分析,自动预测配置违规容易引发的漏洞。并且通过读取OpenStack漏洞树结构,分析配置清单和漏洞,自动扩充漏洞树,并完成定性分析和定量分析。