(openPR) Vom US-Department of Homeland Security finanzierte Coverity-Studie etabliert neue Bewertungsgrundlage für Softwarequalität und -sicherheit
SAN FRANCISCO, 6 März 2006 – Coverity, Inc., Entwickler der führenden Lösung für die Quellcodeanalyse, veröffentlichte heute die Ergebnisse einer umfangreichen Studie zur Qualität führender Software-Projekte im Open-Source-Bereich. Dies ist die erste Studie, in deren Rahmen mittels Quellcodeanalyse eine Bewertungsgrundlage für die Qualität von Software etabliert wird.
Im Rahmen einer von der US-Regierung finanzierten Studie etabliert Coverity gegenwärtig einen neuen Gradmesser für die Qualität und Sicherheit von Open-Source-Software. Grundlage dieser Studie sind komplexe Analysen von mehr als 17,5 Millionen Zeilen Quellcode unter Rückgriff auf neueste Forschungsergebnisse aus der Informatikfakultät der Stanford University. Die Qualität des so genannten LAMP Stack, bestehend aus den wohl bekanntesten Open Source-Projekten Linux, Apache, MySQL und Perl/PHP/Python, erwies sich dabei mit durchschnittlich 0,290 Defekten pro tausend Zeilen Code im Vergleich mit den übrigen 32 analysierten Projekten mit ihren durchschnittlich 0,434 Defekten als erheblich stabiler und sicherer.
Die Analyse ist das erste Ergebnis eines Vertrags mit dem US-Heimatschutzministerium (Department of Homeland Security; DHS), der die Verbesserung der Sicherheit und Qualität von Open-Source-Software zum Ziel hat. Der Dreijahresvertrag mit der Bezeichnung „Vulnerability Discovery and Remediation Open Source Hardening Project“ sieht auch Untersuchungen an den neuesten, von Coverity und Informatikern der Stanford University entwickelten Techniken für die Quellcodeanalyse vor. Im Rahmen der Analyse wurden viele der kritischsten Softwaredefekte klassifiziert.
„Eines der Ziele unserer Forschung zur Qualität und Sicherheit von Software ist es, eine Bewertungsgrundlage zu definieren, die das Ermitteln der Ausfallsicherheit von Software in Open Source- und unternehmensgebundenen Softwareprojekten zulässt.“ (Ben Chelf, CTO von Coverity) „Es gibt keine Technologie, mit der sich alle Fehler in einer Software aufspüren lassen. Über eine automatisierte und wiederholbare Analysestruktur haben wir jedoch eine kritische Masse an Daten gesammelt, um zu zeigen, wie sich Softwarequalität konkret beurteilen, vergleichen und letztlich auch verbessern lässt.“
Das Open-Source-Entwicklungsmodell profitiert vom Prinzip der „vielen Augen“, bei dem der Quellcode ähnlich wie bei einer umfassenden Begutachtung durch Fachleute von vielen Entwicklern geprüft wird. Häufig geht daraus Code von hoher Qualität hervor – wie beispielsweise beim LAMP Stack. Ein Ziel der Tätigkeit von Coverity ist es, diesen Begutachtungsprozess bei jedem Softwareprojekt durch Automatisierung der Analyse aller Code-Pfade auf Defekte zu beschleunigen. In Handarbeit bräuchte man dafür allein beim Linux-Kernel mehr als 28 Mannjahre.
Im Rahmen der Analyse arbeitet Coverity mit Entwicklungsleitern von Open-Source-Projekten zusammen, damit die gewonnenen Erkenntnisse der Open-Source-Gemeinde zugute kommen und bei der Bereitstellung von Fixes für die gefundenen Softwarefehler helfen.
„Die statische Quellcodeanalyse von Coverity hat sich als wirksamer Schritt in Richtung einer Optimierung der Qualität und Sicherheit von Linux erwiesen.“ (Andrew Morton, zuständig für die Pflege des Linux-Kernel 2.6) „Ich begrüße weitere Beiträge von Coverity, die das Auffinden von Defekten im Linux-Kernel mit solch beispielloser Geschwindigkeit und Skalierbarkeit unterstützen.“
„Coverity Prevent ist für uns ein unersetzliches Tool, das wir jetzt in den Entwicklungsprozess des FreeBSD-Projekts in Form von Code-Scans während der Nacht einbinden konnten.“ (Robert Watson, Chef der FreeBSD Foundation) „85 registrierte FreeBSD-Entwickler prüfen gegenwärtig die von Coverity erzeugten Fehlerberichte. Daraus gehen hunderte wichtiger Bugfixes und ein Security Advisory hervor. Die Unterstützung von Coverity hob die Qualität der Quellcodebasis von FreeBSD erheblich. Entwickler und Nutzer von FreeBSD wissen dies sehr zu schätzen.“
„Das von der Open-Source-Community favorisierte Peer-Review-Modell ist äußerst leistungsstark und hat dies bei der Schaffung hochklassiger Software vielfach unter Beweis gestellt.“ (David Park, Mitgründer von Coverity und früher Informatiker der Stanford University) „Bei zunehmender Verbreitung von Open-Source-Software wie Linux, Apache, MySQL und Perl/PHP/Python benötigen die Entscheidungsträger in den Firmen und Organisationen unseres Erachtens Hilfe bei der Ermittlung der relativen Qualität und Sicherheit der gewünschten Softwarepakete.“
Coverity wird die Analyse von Open-Source-Projekten fortführen und plant eine Erweiterung dieser Maßnahmen. Dieser Service soll gewährleisten, dass jede Zeile Code eines Projekts gründlich geprüft wurde und die Ergebnisse der einzelnen Durchläufe im Sinne einer schnellen Reaktion allen Open-Source-Projektentwicklungsteams zugänglich sind.
„Unsere Ergebnisse markieren einen ersten großen Schritt bei der automatischen Beurteilung der Qualität und Sicherheit einer Codebasis. Neben der Bewertung von Qualität und Sicherheit einer Software sind wir jedoch auch bestrebt, die von uns analysierten Projekte voranzubringen. Durch Offenlegung unserer Analyseergebnisse für die wichtigsten Entwickler dieser Open-Source-Projekte hoffen wir, in Zusammenarbeit mit ihnen die Anzahl der Defekte und Anfälligkeiten in ihrem Code zu minimieren.“ (Chelf)
Coverity entwickelte ein webbasiertes System, aus dem die interessierte Öffentlichkeit und Entwickler von Open-Source-Software aktualisierte Informationen abrufen können. Das System lädt ständig Open-Source-Software herunter und prüft diese mit der statischen Quellcodeanalysetechnik von Coverity. Die Ergebnisse erfahren eine tägliche Aktualisierung. Die zusammengefassten Ergebnisse können jederzeit von der interessierten Öffentlichkeit abgerufen werden. Registrierte Projektbetreuer und wichtige Entwickler haben nach dem Anmelden bei einer sicheren Datenbank darüber hinaus Zugriff auf detaillierte Angaben zu den Softwaredefekten.
Eine aktualisierte Zusammenfassung und Zugriff auf die sichere Datenbank erhalten Sie unter http://scan.coverity.com.
Eine Erläuterungen der Erkenntnisse der Untersuchung mit einem Kommentar zum Einsatz der Bewertungsgrundlage durch Softwareentwickler steht unter folgenden Adressen ebenfalls zum kostenlosen Download bereit: http://www.coverity.com und http://scan.coverity.com.
Zum Unternehmen
Coverity (www.coverity.com), Entwickler der führenden skalierbaren Lösung für die Quellcodeanalyse, mit der sich Softwaredefekte sowie Sicherheitsrisiken aufspüren lassen, ist ein nicht börsennotiertes Unternehmen mit Stammsitz in San Francisco. Coverity wurde 2002 in Anschluss an ein vierjähriges Forschungsprojekt von führenden Wissenschaftlern der Stanford University gegründet. Ergebnis des Projekts war ein bahnbrechender Ansatz für die Lösung des kostenträchtigsten Problems der Softwarebranche. Dank dieses Durchbruchs lassen sich aus Millionen von Zeilen alten oder neuen Quellcodes schnell und präzise Softwaredefekte und Sicherheitsrisiken herausfiltern. Schon vier Jahre nach Gründung des Unternehmens wird die Coverity-Lösung von mehr als 100 führenden Unternehmen zur Optimierung der Softwarequalität eingesetzt. Die Liste umfasst so bekannte Namen wie uniper Networks, Symantec/VERITAS, McAfee, Synopsys, NASA, PalmOne, Sun Microsystems und Wind River.
Coverity ist eine eingetragene Marke. Coverity Extend und Coverity Prevent sind Marken von Coverity, Inc. Alle anderen Firmen- und Produktnamen sind Eigentum ihrer jeweiligen Inhaber.
Ansprechpartner Medien
Ariane Füchtner
Page One PR für Coverity
+49 30 629 89 756
