Unternehmen
Coverity sucht Zusammenarbeit mit dem Linux-Projekt
Seit einigen Tagen liegen die ersten Ergebnisse eines systematischen Fehlerscans des Open-Source-Quellcodes von 32 Projekten vor, die Kommunikation identifizierter Bugs muss sich erst noch einspielen.
Der automatische Quellcode-Scanner, auch unter dem Namen Stanford Checker bekannt, durchsucht auf regelmäßiger Basis die Software vieler Open-Source-Projekte nach Fehlern wie Pufferüberläufen und anderen kritischen Bugs. Schon als die ersten Meldungen zu dem vom Departement for Homeland Security (DHS) finanzierten Projekt auftauchten, stand die Frage im Raum, auf welche Weise identifizierte Fehler an die betreffenden Projekte gemeldet werden. Jetzt hat sich der Chefingenieur Ben Chelf von Coverity auf der Linuxkernel-Mailingliste (LKML) gemeldet.
In seiner Mail erklärte Chelf, dass Linux, unter 32 weiteren gescanten Projekten, auf der Basis eines von Coverity fertiggestellten Frameworks ab sofort eine regelmäßige Meldung zu auftauchenden Fehlern im Repository des Kernel-Quellcodes bekommen soll. Mit seiner Anfrage versucht Chelf auch interessierte Kernelentwickler zu finden, die zur intensiveren Zusammenarbeit bereit sind. Einerseits, so Chelf, sollen regelmäßige Scans zur laufenden Verbesserung des Kernelcodes beitragen, andererseits lädt er interessierte Maintainer oder eine Gruppe handverlesener Individuen zum Experimentieren mit der neuen, "coolen" Technologie zur Verbesserung des Kernelcodes ein.
Die angedeutete Aussicht des Zugriff auf die neue Technologie weckte offenbar Argwohn bei Dave Jones, der sich an eine für interessierte Kernelhacker zu unterzeichnende Konkurrenz-Verzichtserklärung erinnerte, die den Zugriff auf die Bug-Liste von Coverity in der Vergangenheit regelte. Verwundert stellte Adrian Bunk fest, dass das Angebot in der Pressemitteilung von Coverity wie eine Wohltätigkeit angepriesen wird, obwohl doch das Projekt nach Presseberichten mit öffentlichen Mitteln in Höhe 297.000 US-Dollar durch das DHS finanziert wurde. Darüber hinaus erklärte der Entwickler, dass das Linux-Projekt schon sehr früh an einer Zusammenarbeit interessiert gewesen ist und sich eine Migration der Bug-Datenbank, von der seit 6 Monaten nicht mehr aktualisierten linuxbugsdb.coverity.com, auf die Webseiten des Linux-Projekts wünscht. Greg Kroah-Hartmann verwies die Initiative von Chelf an die Mailingliste für sicherheitsrelevante Bugs und erinnerte daran, dass der Stanford Checker in der Vergangenheit bereits durch die Identifizierung von "falsch Positiven" aufgefallen ist, d.h. fälschlicherweise Bugs meldete und wollte daher lieber nur von "potentiellen" Fehlern reden.
In seiner Antwort auf die Fragen der Kernelhacker hob Chelf hervor, dass man bei Coverity nun neuerdings eine feste Infrastruktur zur täglichen Durchführung automatischer Fehlerscans eingerichtet habe. Natürlich werde Coverity die Resultate der bisherigen Zusammenarbeit dem Linux-Projekt zu kommen lassen, versicherte er. Eine Antwort auf Jones Frage nach der Konkurrenz-Verzichtserklärung konnte oder wollte Chelf nicht geben. Es hat den Anschein, dass Coverity nun geeignete Wege zur effektiven Kommunikation und Kooperation mit betroffenen OSS-Projekten finden muss.
