Heute 1856

Gestern 802

Insgesamt 39839924

Montag, 10.02.2025
Transforming Government since 2001
Knapp zwei Monate nach der Ankündigung von Security-Audits an Open-Source-Software durch das US-amerikanische Ministerium für innere Sicherheit (Department of Homeland Security, DHS) liegen erste Ergebnisse vor, berichten US-Medien. Die Autoren der Studie von Coverity behaupten den Berichten zufolge, den ersten verlässlichen Führer zur Bewertung der Sicherheit und Zuverlässigkeit von Open-Source-Software abgeliefert zu haben. Die Begründung: Die Studie lege als Erste ein einheitliches Messverfahren zugrunde, dessen Ergebnisse objektive Vergleiche zulasse.

Im Rahmen des auf drei Jahre angelegten, 1,24 Millionen US-Dollar schweren Vulnerability Discovery and Remediation, Open Source Hardening Project haben die Sicherheitsspezialisten inzwischen 15 Millionen Zeilen Code aus 31 populären Open-Source-Projekten begutachtet. Durchschnittlich fanden sie dabei 0,42 Fehler per 1000 Zeilen Programmcode. Besonders gut schlug sich die als LAMP bekannte Software-Kombination aus Linux-Betriebssystem, Apache-Webserver, MySQL-Datenbank sowie Perl/PHP/Python als Skriptsprachen. Hier machte die Analyse-Software nur 0,32 Programmierfehler je 1000 Zeilen Quellcode aus.

Die an der Stanford University entwickelte Analyse-Software sucht dabei nach Fehlern, die zu Speicherverwürfelungen, Speicherlecks, Pufferüberläufen und Programmabstürzen führen können. Diese setzten Benutzer dem Risiko von erfolgreichen Hackerangriffen aus oder würden zu kompletten Systemausfällen führen. Coverity will sich nun mit den Open-Source-Entwicklern in Verbindung setzen, um den Quellcode zu verbessern und um herauszufinden, warum einige Projekte mehr Fehler als andere haben.

Autor: (dmk/c't)

Quelle: Heise online, 06.03.2006

Zum Seitenanfang