(openPR) Coverity-Untersuchung im Auftrag des Department of Homeland Security zeigt, dass die Entwickler der 32 bekanntesten Open-Source-Projekte in der 1. Woche nach Veröffentlichung der Ergebnisse im Schnitt alle sechs Minuten Softwaredefekte beheben
LINUXWORLD, BOSTON, 3. April 2006 – Coverity, Inc., Entwickler der führenden skalierbaren Lösung für die Quellcodeanalyse, gab heute vorläufige Ergebnisse bekannt, nach denen die Entwickler von Open-Source-Software in der ersten Woche nach der im Auftrag des US-amerikanischen Heimatschutzministeriums von Coverity durchgeführten Analyse, in deren Rahmen eine Bewertungsgrundlage für die Qualität von Software entstand, alle sechs Minuten Defekte an den betreffenden Softwareprojekten beheben. Innerhalb von sieben Tagen sank die Defektdichte der 32 analysierten Open-Source-Projekte von 0,434 Defekten pro 1000 Zeilen Code auf einen Wert von 0,371. Bei Samba, einer weit verbreiteten Open-Source-Software, mit der sich Linux- und Windows-Netzwerke einrichten lassen, reagierten die Entwickler am schnellsten: In den ersten sieben Tagen fiel die Zahl der Softwaredefekte von 216 auf 18.
„Coverity fand Fehler in Teilen von Samba, die bei uns als gründlich geprüft und vollkommen stabil galten.“ (Jeremy Allison, Leiter des Samba-Entwicklungsteams) „Coverity leistet gegenwärtig einen wichtigen Beitrag zur Erhöhung der Codequalität des Samba-Projekts.“
„Nach meinem Empfinden reagiert die Open-Source-Community äußerst schnell mit Defekt-Patches.“ (Ben Chelf, CTO von Coverity) „Langfristig möchten wir auch ermitteln, wie sich durch Kombination unserer Technologie mit dem Open-Source-Entwicklungsmodell Defekte so schnell beheben lassen, dass wir den Entwicklungsprozess und die Sicherheit aller Software, Open Source und proprietär, verbessern können.“
In den ersten sieben Tagen ließen sich mehr als 200 Open-Source-Entwickler registrieren, um sicheren Zugang zur Online-Defektdatenbank zur erhalten. Auf der Grundlage der gelieferten Daten behoben sie mehr als 900 Defekte. Das sind im Schnitt fünf Bug-Fixes pro Stunde. Entwickler der Projekte Amanda und XMMS beseitigten sogar sämtliche, im Verlauf der Coverity-Analyse entdeckten Softwaredefekte. Im Anschluss daran veröffentlichte das Amanda-Team eine Hauptversion (2.5) der populären Sicherungs- und Wiederherstellungssoftware. Besonders betont wurde dabei, dass die neue Version völlig frei von Coverity-Defekten sei.
Der Dreijahresvertrag mit dem DHS (Vulnerability Discovery and Remediation Open Source Hardening Project) wurde erst im Januar geschlossen. Doch schon heute wirkt sich das Projekt positiv auf die Entwicklung einiger Open-Source-Projekte aus. Bei X.org, der weit verbreiteten Software X Window, die unter anderem Bestandteil der wichtigen Distributionen von Linux und Solaris ist, entnahm man den veröffentlichten Daten in der ersten Woche nach der Coverity-Analyse, dass die Software ein großes Sicherheitsleck aufwies. Dieses Leck ermöglicht jedem angemeldeten Benutzer mit Root-Rechten die willkürliche Ausführung von Code bzw. die Herbeiführung eines Denial-Of-Service-Angriffs. Kurz darauf gaben die Verantwortlichen ein Security Advisory heraus, auf das die Distributoren mit der Bereitstellung von Patches reagierten.
Der „Einsatz der Quellcode-Analysetechnik von Coverity“ bewirkt laut Allison, „als hätte man einen Entwickler mit übermenschlicher Konzentration auf das Detail im Team, der auf alle Grenzfälle und Randbedingungen hinweist, derer sich die Entwickler beim ersten Schreiben des Codes nicht bewusst waren.“
Eine aktualisierte Zusammenfassung der Ergebnisse und sowie eine Erläuterung der Studie erhalten Sie unter http://scan.coverity.com . Dort erhalten Sie auch Zugriff auf die gesicherte Defekt-Datenbank.
CEO von Coverity spricht auf der LinuxWorld Boston über die Qualität und Sicherheit des LAMP Stack
Am 4. April 2006, 14:30 Uhr, hält Seth Hallem, CEO von Coverity, auf der LinuxWorld Boston einen einstündigen Vortrag zum Thema Qualität und Sicherheit beim LAMP-Stack. In seiner Rede mit dem Titel „Get the Facts on LAMP Applications Quality and Security“ erläutert er die laufende Analyse von Open-Source-Software bei Coverity.
##
