UTVIKLING

Skal finne flere feil i åpen kildekode

Coverity har satt i gang et nytt trinn med kodetesting av åpen kildekodeprodukter.

Harald BrombachHarald BrombachNyhetsleder
10. jan. 2008 - 10:26

Coverity har på oppdrag fra amerikanske Department of Homeland Security og i samarbeid med de aktuelle prosjektene, på nytt analysert kildekoden til 11 populære åpen kildekode-produkter for å se etter og identifisere potensielle sikkerhets- og kvalitetsfeil.

De 11 prosjektene er Amanda, NTP, OpenPAM, OpenVPN, Overdose, Perl, PHP, Postfix, Python, Samba og TCL. Disse prosjektene er de første til å ha rettet alle feil som ble funnet i trinn 1 av testingen.

    Les også:

De 11 prosjektene har nå kommet til trinn 2 i testingen, hvor kildekoden blir analysert av nyere og mer avanserte analyseverktøy. Flere prosjekter vil bli lagt til i de kommende månedene.

En forklaring på «Rung»-nivåene finnes her.

Litt interessant er det at PHP har kommet såpass langt i feilfiksingen. I mars ble nemlig språket kåret til det svakeste leddet i LAMP-plattformen (Linux, Apache, MySQL og PHP/Perl/Python) på grunn av flest feil per tusen kodelinjer.

Prosjektene som har begynt testingen på trinn 2, har ifølge Coverty meldt om en betydelig økning i antallet identifiserte defekter - enkelte har meldt om så mye så mye som 100 flere vankelig identifiserbare defekter enn det som ble funnet i trinn 1 av testingen.

I tillegg til de 11 prosjektene som har kommet lengst i testingen og feilfiksingen, tester Coverity via Coverity Scan-nettstedet koden i mer enn 250 andre prosjekter. Siden mars 2006 er det blitt avdekket mer enn 7500 programvarefeil etter analyse av mer enn 50 millioner kodelinjer.

En oversikt over hvilke prosjekter som er blitt testet, hvor mange feil som er blitt funnet og i hvilken grad feilene er blitt rettet, finnes på denne siden.

I et intervju med Information Week sier David Maxwell, åpen kilde-strateg hos Coverity, at det å kjenne antallet sårbarheter innen et populært stykke programvare, er uvanlig. Åpen kildekode-prosjekter skiller seg fra kommersielle produkter ved at de kommersielle selskapene sjelden bekrefter sikkerhetsdefekter i koden sin, eller om de sikkerhetsfeilene er blitt rettet.

- Våre kommersielle kunder ville ikke sette særlig pris på om vi gikk ut med antallet feil vi har funnet i deres kode, sier Maxwell.

Coverity har skannet kildekode til omtrent 400 kommersielle produktserier.

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.