Open-Source: Un caza de errores

Los desarrolladores de la comunidad de código abierto son rápidamente corregir unos cuantos errores en los paquetes de software populares, los defectos se han identificado gracias a una iniciativa patrocinada por el gobierno de los EE.UU.. La Universidad de Stanford, Coverity, una empresa que produce herramientas para el análisis de código fuente, han desarrollado un sistema que hace exploraciones diarias del código producido en los proyectos populares de código abierto. La base de datos resultante de errores se pondrá a disposición de los desarrolladores para que puedan acceder fácilmente a los datos necesarios y corregir las debilidades de su software.

Esta iniciativa de la "caza de errores" en el software de fuente abierta es parte del proyecto de tres años "de código abierto del proyecto de endurecimiento", dedicado específicamente a garantizar que este tipo de software puede ser tan seguro como sea posible. En enero del año pasado, los EE.UU. Departamento de Seguridad Nacional había asignado 1,240,000 dólar a la Universidad de Stanford, Coverity y Symantec para cazar porque se trata de vulnerabilidades en diversos proyectos de código abierto.

Más de 900 fallas fueron reparadas dentro de dos semanas después de la publicación de los resultados de Coverity de los primeros análisis automatizado de los 32 proyectos de código abierto. El resultado es que algunos de estos códigos de software aparecen abajo ahora completamente "libre de errores", según lo informado por Coverity en un comunicado. Ben Chelf, director de tecnología de Coverity, dijo: "Mi impresión es que la comunidad de fuente abierta que está haciendo la corrección de errores en el software muy rápidamente." En su análisis inicial, realizado el 6 de marzo del año pasado, corrió la Coverity exploración de más de 17,5 millones de líneas de código en 32 proyectos. En promedio habían encontrado 0.434 errores por cada 1000 líneas de código. Más de 200 desarrolladores se han registrado en el sitio de Coverity para acceder a la línea de base de datos de errores durante la semana siguiente a la publicación de los primeros resultados. Los desarrolladores de los proyectos de Samba, Amanda y XMMS comenzó a trabajar inmediatamente y fueron capaces de eliminar todos los defectos que el primer análisis había revelado en su software.

Samba, un proyecto popular de código abierto utilizado para conectar redes Linux y Microsoft Windows, mostró el más rápido "respuesta desarrollador, el número de vulnerabilidades se han reducido 216 a 18 en una semana y luego fue llevado a cero el plazo de dos semanas. Amanda, una herramienta de copia de seguridad, ha obtenido los peores resultados de los análisis de Coverity, que es el mayor número de errores por cada 1.000 líneas de código, con una densidad de 1237. los desarrolladores de Amanda, sin embargo, a corregir defectos en los 108 un par de semanas. XMMS, un reproductor de audio, contó con la menor densidad de errores, defectos de 0.051 por 1.000 líneas de código, y de acuerdo a Coverity ya seis agujeros de seguridad eran correctas.

Entre otros proyectos, también han comprado seguimiento Firefox (aumento de 108 a 7 errores), PHP (204 a 42), Linux (1062-745), el servidor Web Apache (32 a 24).

Fuente