Dotkom
Ezer kijavított biztonsági hiba, 2 hét alatt!
Elég volt egy jelentés a sebezhetőségekről ahhoz, hogy munkába lendüljenek a programozók.
Nemrég számoltunk be arról, hogy a kódelemző eszközök készítésével foglalkozó Coverity a 32 legelterjedtebb nyíltforrású szoftvert vizsgálta meg, biztonsági rések, sérülékenységek után kutatva. Az USA Nemzetbiztonsági Hivatala által 1,24 millió dollárral megtámogatott, Open Source Hardening Project kezdeményezés keretei között lezajlott kutatásban nemcsak a Coverity vett részt, hanem a Stanford Egyetem és a Symantec is hozzájárult a felmérés elvégzéséhez. Az Egyesült Államok a három éves időtartamra indított projekttel fel kívánja mérni a főbb nyílforrású alkalmazások hibaarányát, és ezen kíván javítani.
Az eredmények – az egyik legjobbnak a LAMP bizonyult: ezt egy Linux operációs rendszer, egy Apache webszerver, egy MySQL adatbázis és egy scriptnyelv (PHP, Perl vagy Python) alkotja. A felmérés szerint mindössze 0,29 hiba jut ezer kódsorára, ami jóval a 0,434-es átlag alatt van, közölte a Coverity. A lista végén pedig az Amanda nevű backup eszköz található, melyben ezer kódsorra átlagosan 1,237 bug jutott. Mind közül az XMMS hanglejátszó program végzett az első helyen – ennek jósága mindössze 0,051, azaz átlagosan csak minden húszezredik (!) programsorra jut egy hiba. Abszolútértékben az X grafikus környezet bizonyul a leghibásabbnak: a kutatók 1681 hibára bukkantak benne. Ebben az összehasonlításban is az XMMS bizonyult a legjobbnak, mindössze hat buggal.
A Coverity elemzése egyébként a negyven legkritikusabb biztonsági sebezhetőségre és ismert szoftverkódolási hibákra alapult. Arról (érthetően) nem adtak ki részletes közlést, hogy melyik szoftverben milyen bugokra bukkantak. A fejlesztőknek azonban a rendelkezésükre álltak, így alig két hét alatt több mint 900 (!) hibát iktattak ki a programozók a szoftverekből.
A Coverity hétfői közleménye szerint ennek köszönhetően most vannak olyan alkalmazások, melyek immár teljesen hibamentessé váltak (legalábbis a fent említett negyven sérülékenység tekintetében). A jobbra látható táblázat ezt mutatja be: az első oszlop a március 6-i hibaszámot, a második a március 20-i állapotot tartalmazza. Az eredmény annak köszönhető, hogy egy héttel az első jelentés kiadása után már több mint 200 fejlesztő regisztrált azon célból, hogy hozzáférhessen az online hibaadatbázishoz. Ezt követően például a Samba, az Amanda és az XMMS projektek teljesen megszüntették a Coverity által vizsgált hibákat.
