Rettet 7000 Linux-feil

Rettet 7000 Linux-feil

11 open source-pakker er sikkerhetsklarert av det amerikanske prosjektet Open Source Hardening Project.

Kodesjekkselskapet Coverity har ploget seg gjennom en rekke applikasjoner basert på åpen kildekode. Nå er elleve av dem godkjent, etter at de viktigste feilene er rettet.

Prosjektet er støttet av de amerikanske myndighetene, og gjennomføres av Coverity sammen med Stanford-universitet og sikkerhetsselskapet Symantec. Det går under navnet Open Source Hardening Project. Målet er å øke tilliten til open source-programvare.

Forskerne jobber ut fra stige-modellen. All programvare starter på 'rung 0' (stige 1). I denne fasen skannes all kode for feil. Disse resultatene sendes tilbake til utviklerne, som får anledning å rette dem. Etter det skannes de en gang til. I tillegg skaffer Coverity verktøy til utviklerne så de kan finne frem til feil selv.

OSHD skanner 50 millioner kodelinjer hver dag, og rundt 250 applikasjoner er med i prosjektet. Ifølge selskapet er rundt 7000 feil hittil blitt rettet.

Ikke Firefox og Linux-kjerne 2.6

For å komme seg til andre fasen i testingen ('rung 1') blir utviklerne invitert til en dialog om testresultatene. De får ekstra analyseverktøy og kommer på en mailingliste for å diskutere utvikling.

Til nå har elleve programvarepakker kommer seg til det tredje steget ('rung 2'), hvor de fleste feil er rettet og ikke vises på skanningen lengre, skriver Coverity på sin blogg. De elleve prosjektene er Amanda, NTP, OpenPAM, OpenVPN, Overdose, Perl, PHP, Postfix, Python, Samba og TCL.

'Rung 2' skal fungere som et slags kvalitetsstempel. I tillegg inviteres utviklere enda mer inn i forskningen, og får tilgang til anda flere verktøy.

Store open source-prosjekter som Firefox og kjernen i Linux 2.6 er fremdeles i 'rung 1'. Dette skyldes først og fremst størrelsen. De to har henholdsvis 1,8 millioner og 3,6 millioner kodelinjer. Det største prosjektet som hittil er klarert, har 500 000 kodelinjer.

I gjennomsnitt finner Coventiry én feil per tusen kodelinjer. Også Apache, Gnome og FreeBSD ligger fremdeles på 'rung 1'.