Open-Source: A Bug Hunt

Ontwikkelaars van open-source gemeenschap snel corrigeren handvol bugs in populaire software pakketten, hebben gebreken geconstateerd, dankzij een initiatief gesponsord door de Amerikaanse overheid. Stanford University, Coverity, een bedrijf dat hulpmiddelen voor broncode analyse produceert, hebben een systeem ontwikkeld dat het dagelijks scans van de code die in de populaire open-source projecten doet. De resulterende database van bugs is beschikbaar gesteld aan ontwikkelaars, zodat ze gemakkelijk toegang tot de nodige details en de correcte de zwakke punten van hun software.

Dit initiatief van "bug hunt" in de open-source software is onderdeel van het driejarige project "Open Source Hardening Project", dat specifiek gewijd is om ervoor te zorgen dat dit soort software kan worden zo veilig mogelijk te maken. In januari vorig jaar was het Amerikaanse Department of Homeland Security toegewezen 1,240,000 dollar aan Stanford University, Coverity en Symantec te jagen omdat het gaat over kwetsbaarheden in verschillende open-source projecten.

Meer dan 900 gebreken werden hersteld binnen twee weken na de release van Coverity resultaten van de eerste geautomatiseerde scan van de 32 open-source projecten. Het resultaat is dat sommige van deze software codes verschijnen die nu volledig "bug free", zoals gemeld door Coverity in een verklaring. Ben Chelf, chief technology officer bij Coverity, zei: "Mijn indruk is dat de open-source gemeenschap is fouten doet de correctie van in de software zeer snel." In zijn eerste analyse, uitgevoerd op 6 maart vorig jaar liep het Coverity van meer dan 17,5 miljoen regels code scant in 32 projecten. Gemiddeld hebben ze gevonden hadden 0.434 bugs per 1000 regels code. Meer dan 200 ontwikkelaars hebben geregistreerd op de site Coverity aan de bug database online toegang tijdens de week na de publicatie van de eerste resultaten. De ontwikkelaars van de projecten Samba, Amanda en XMMS begon meteen aan het werk en waren in staat om alle gebreken die de eerste analyse was gebleken in hun software te elimineren.

Samba, een populaire open-source project gebruikt om Linux en Microsoft Windows-netwerken komen, bleek de snelste "ontwikkelaar reactie, was het aantal kwetsbaarheden is verlaagd 216 tot 18 in een week en toen werd teruggebracht tot nul binnen twee weken. Amanda, een backup tool, had verkregen de slechtste resultaten van de analyse van Coverity, dat is het hoogste aantal van de bugs per 1.000 regels code, met een dichtheid van 1237. Amanda ontwikkelaars hebben wel juist, gebreken in de 108 een paar weken. XMMS, een audio-speler, pochte de laagste bug dichtheid, 0.051 defecten per 1.000 regels code, en volgens Coverity nu zes gaten in de beveiliging waren allemaal correct.

Onder andere projecten ook het volgende gekocht gecontroleerd Firefox (meer 108-7 bug), PHP (204 tot 42), Linux (1062 tot 745), Apache Web server (32 tot 24).

Bron