A Coverity Scan Site első éve 6 000 kigyomlált bugot eredményezett

Titkosítás, biztonság, privát szféra

A biztonsági forráskód-elemző szoftvert gyártó Coverity bejelentette, hogy a kritikus nyílt forrású szoftver projektek 6 000 hibajavításhoz jutottak a Coverity Scan Site működésének első évében. A Department of Homeland Security nyílt forráskód megerősítését célzó projektje jelenleg 150 alkalmazás, és 35 millió sornyi nyílt forrású programkód monitorozását végzi. A vizsgált alkalmazások közt van olyan is, amelynek a hibája felhasználók millióit érintené, mert közel 500 másik projekt is használja (pl. zlib). A bejelentés itt.

A bugok felderítésének java részét a Coverity szoftvere végzi, amelyik a Standford Checker továbbfejlesztéséből és a hozzárakott saját megoldásokból áll. A talált bugokat aztán a program osztályozza és hibáktól függően azok később emberi ellenőrzésen esnek át, hogy kiszűrhetővé válljanak a fals pozitív riasztások.

Szóval itt azért nem "igazi" emberek által végzett forráskód auditálásról van szó, a munka jórészét programok végzik (épp emiatt sajnos eléggé korlátozott az is, hogy milyen jellegű/típusú programozási hibákat talál csak meg).

A Postfix -nál viszont talált egyet, ami persze kiderült, hogy nem valós. Wietse erősen tiltakozott is, hogy vegyék le a postfix-et arról a listáról mely azt írta, hogy security bugot véltek felfedezni.

Szóval azt akarom mondani, hogy óvatosnak kell lenni amikor a project lényegét, hasznosságát megítéljük. Hiszen itt a védelmi minisztérium által támogatott projektről van szó.

Akit részletesebben érdekel keresse meg az említett levelet.

( Som-Som | 2007. 03. 30., p – 15:20 )

Probaltam keresgelni a neten olyan irasokat, amik osszehasonlitjak a Coverity-t es a PC-lintet (avagy FlexeLintet). Nagyjabol azt olvastam ki beloluk (amennyire egyaltalan megertettem ezeket), hogy a PC-lint alapjaiban is jobb.

Ha ez tenyleg igy van, akkor a Coverity OSS koruli tenykedese leginkabb azt szolgalhatja, hogy ha mar a termek gyenge, legalabb jol be legyen reklamozva.