Open-Source: Ein Bug Hunt

Entwickler von Open-Source-Community sind schnell zu korrigieren Handvoll Bugs in populären Software-Pakete, haben Fehler wurde dank einer Initiative der US-Regierung gesponserten identifiziert. Stanford University, Coverity, ein Unternehmen, das Werkzeuge für die Quellcode-Analyse ergibt, haben ein System, das täglich scannt den Code in das populäre Open-Source-Projekten hergestellt wird entwickelt. Die resultierende Datenbank von Fehlern zur Verfügung gestellt wird Entwicklern, so dass sie leicht Zugang zu den notwendigen Angaben und korrigieren Sie die Schwächen ihrer Software.

Diese Initiative der "Bug Hunt" in der Open-Source-Software ist Teil des dreijährigen Projektes "Open Source Hardening Project", insbesondere sicherzustellen, dass diese Art von Software kann so sicher wie möglich gewidmet. Im Januar vergangenen Jahres hatte der US Department of Homeland Security $ 1.240.000 an der Stanford University, Coverity und Symantec vergeben jagen, weil sie beschäftigt sich mit Sicherheitslücken in verschiedenen Open-Source-Projekte.

Mehr als 900 Fehler wurden innerhalb von zwei Wochen nach der Veröffentlichung von Coverity Ergebnisse des ersten automatisierten Scan der 32 Open-Source-Projekte repariert. Das Ergebnis ist, dass einige dieser Software Codes jetzt komplett "Fehler frei" erscheint, wie von Coverity in einer Erklärung gemeldet. Ben Chelf, Chief Technology Officer von Coverity, sagte: "Mein Eindruck ist, dass die Open-Source-Community ist dabei die Korrektur von Fehlern in der Software sehr schnell." In seiner ersten Analyse am 6. März im vergangenen Jahr lief der Coverity von mehr als 17,5 Millionen Zeilen Code scannen in 32 Projekten. Im Durchschnitt hatten sie 0.434 Bugs pro 1000 Zeilen Code gefunden. Mehr als 200 Entwickler haben auf die Coverity Website, um die Bug-Datenbank online unter der Woche Zugang nach der Veröffentlichung der ersten Ergebnisse registriert. Die Entwickler von Projekten Samba, Amanda und XMMS begann sofort und konnten alle Mängel, die die erste Analyse in ihrer Software hatten ergeben, zu beseitigen.

Samba, einer beliebten Open-Source-Projekt verwendet werden, um Linux und Microsoft Windows-Netzwerken in Verbindung zu treten, zeigte die schnellste "Entwickler Reaktion war die Zahl der Schwachstellen von 216 auf 18 reduziert in einer Woche und wurde dann auf Null gebracht innerhalb von zwei Wochen. Amanda, ein Backup-Tool, hatte es die schlechtesten Ergebnisse aus der Analyse von Coverity, die die höchste Anzahl von Fehlern pro 1.000 Zeilen Code ist, mit einer Dichte von 1237 erhalten. Amanda Entwickler haben allerdings richtig Mängel in der 108 ein paar Wochen. XMMS, ein Audio-Player, prahlte der niedrigsten Dichte Fehler, Mängel 0.051 pro 1.000 Zeilen Code, und nach Coverity jetzt sechs Sicherheitslücken wurden alle korrekt.

Neben anderen Projekten auch gekauft überwacht Firefox (erhöht von 108 bis 7 Fehler), PHP (204 bis 42), Linux (1062 bis 745), Apache Webserver (32-24).

Quelle