Login
Newsletter
Werbung

So, 5. März 2006, 22:34

Sicherheitsbericht zu Open Source

Am Anfang des Jahres hatten das Departement for Homeland Security (DHS), die Stanford Universität und die Sicherheitsfirma Coverity ein Projekt zur Evaluation der Qualität von Open-Source-Software (OSS) begonnen, jetzt liegen erste Resultate vor.
Von ThomasS

Die vom DHS finanzierte Studie »Stacking up the LAMP stack: a study of open source quality« nimmt für sich in Anspruch, den ersten verlässlichen Leitfaden zur Beurteilung von Qualität und Sicherheit von OSS zu liefern. Coverity-Mitbegründer Dave Park sagte dazu, dass die Studie auf einem Standard mit klarer Metrik beruhe, mit der sich unterschiedliche OSS-Projekte übergreifend untersuchen lassen. Die Studie analysierte 31 weit verbreitete Softwarepakete aus der Open-Source-Welt, gesucht wurde primär nach möglichen Anzeichen für systemgefährdende Abstürze mit der Folge längerer Ausfallzeiten in der Software.

Im Endergebnis erhielten Linux, Apache, MySQL und Perl/PHP/Python (LAMP) ein positives Rating auf der Qualitätsskala. Im Vergleich zu vielen anderen OSS-Paketen erhielt LAMP ein über dem Durchschnitt liegendes Rating in Sachen Sicherheit. So wurden im LAMP-Software-Stack 0,32 und in anderer OSS durchschnittlich 0,42 Fehler auf je 1000 Zeilen Code gefunden. Insgesamt fanden die Forscher in 15 Millionen Zeilen Quellcode eine Reihe von Problemen im adressierbaren Speicher, Pufferüberläufe und Abstürze verursachende Code-Konstellationen. Auf der Basis der Studienergebnisse strebt Coverity nun eine enge Kooperation mit den betreffenden Entwicklern an. Darüber hinaus will man offenbar mit weiteren Untersuchungen eine Erklärung für die Unterschiede in den Fehlerraten der beleuchteten Projekte finden.

Bereits im Januar 2006 hatte das DHS die umfassende Studie zur Qualität und Sicherheit von OSS angekündigt, die mit einer Summe von 1,24 Millionen US-Dollar unterstützt wird. Die Motivation für eine solche Studie ist unter anderem auf die steigende Verbreitung von OSS im amerikanischen Regierungssektor zurückzuführen.

Werbung
Kommentare (Insgesamt: 9 || Alle anzeigen )
Fehlerrate (cweiske, Mo, 6. März 2006)
Re[3]: Zahlen (Heinz, Mo, 6. März 2006)
Re[2]: Zahlen (Benni, Mo, 6. März 2006)
Re[2]: Zahlen (the2nd, Mo, 6. März 2006)
Mehr Fragen als Antworten... (Micha, Mo, 6. März 2006)
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung