Mennyire hibásak a nyíltforrású szoftverek?

A LAMP stacknek nevezett alkalmazásgyűjtemény bizonyult az egyik legjobbnak azon a felmérésen, amely az ezer sorra jutó hibák számát vizsgálta 32 nyíltforrású szoftver körében. A kódelemző eszközök készítésével foglalkozó Coverity hétfőn jelentette be a vizsgálat eredményét. Az USA Nemzetbiztonsági Hivatala által 1,24 millió dollárral megtámogatott, Open Source Hardening Project kezdeményezés keretei között lezajlott kutatásban nemcsak a Coverity vett részt, hanem a Stanford Egyetem és a Symantec is hozzájárult a felmérés elvégzéséhez. Az Egyesült Államok a három éves időtartamra indított projekttel fel kívánja mérni a főbb nyílforrású alkalmazások hibaarányát, és ezen kíván javítani.

Visszatérve a LAMP-re: egy Linux operációs rendszer, egy Apache webszerver, egy MySQL adatbázis és egy scriptnyelv (PHP, Perl vagy Python) alkotja. A rendszer egyre erőteljesebb jelenléttel bír a vállalati mainstream piacon: a Java és a Microsoft .Net kárára. Ráadásul, a felmérés szerint, mindössze 0,29 hiba jut ezer kódsorára, ami jóval a 0,434-es átlag alatt van, közölte a Coverity. Egyedül a PHP lógott ki a fenti szoftverek sorából, és rontotta az összképet: a programozónyelvben ugyanis jelentősen több hibát találtak, mind a rendszer többi komponensében.

A lista végén az Amanda nevű backup eszköz található. A Coverity megállapítása szerint ennek a szoftvernek volt a legmagasabb hibaaránya: ezer kódsorra átlagosan 1,237 bug jutott. A legjobb pedig az XMMS hanglejátszó program lett – ennek jósága mindössze 0,051, azaz átlagosan csak minden húszezredik (!) programsorra jut egy hiba. Abszolútértékben az X grafikus környezet bizonyul a leghibásabbnak: a kutatók 1681 hibára bukkantak benne. Ebben az összehasonlításban is az XMMS bizonyult a legjobbnak, mindössze hat buggal.

A Coverity elemzése egyébként a negyven legkritikusabb biztonsági sebezhetőségre és ismert szoftverkódolási hibákra alapult. Arról (érthetően) nem adtak ki részletes közlést, hogy melyik szoftverben milyen bugokra bukkantak. Azt azonban a jelentés is hangsúlyozza, hogy a nyíltforrású programok hibaarányai nem hasonlíthatók össze a jogvédett alkalmazásokéval, hiszen ez utóbbiak forráskódja nyilvánosan nem hozzáférhető, és így nem is tesztelhető.