Coverity: Open-Source-Software immer sicherer

Auch wenn die Schwachstelle im OpenSSL-Paket von Debian letzte Woche hohe Wellen schlug: Die Qualität von Open-Source-Quellcode und die Sicherheit freier Software nehmen zu. Zu dem Schluss kommt das jetzt erschienene Scan Report on Open Source Software 2008 (PDF-Datei) von Coverity. Die Studie präsentiert die Ergebnisse einer Analyse, die das US-amerikanische Unternehmen über einen Zeitraum von zwei Jahren über 55 Millionen Zeilen Quellcode auf wiederkehrender Basis durchführte. Dabei wurden mehr als 250 populäre Open-Source-Anwendungen wie der Webserver Apache aber auch der Linux-Kernel unter die Lupe genommen.

Für die Untersuchung benutzte Coverity das Fehleranalyse-Werkzeug Coverity Prevent, das Lücken in in C, C++ oder Java geschriebenen Sourcecode aufspürt. Die Fehlerdichte soll in den letzten zwei Jahren um 16 Prozent abgenommen haben. Besonderen Lob hat Coverity unter anderem für die freie CIFS-Implementierung Samba, die Backup-Lösung Amanda, NTP, OpenVPN, den Mailserver Postfix und die Sprachen Perl, PHP und Python. Die getesteten Projekte sind zu finden auf Coveritys Scan Site, einer Initiative, die 2006 im Rahmen eines Schwachstellen-Analyse-Vertrags mit dem US-amerikanischen Department of Homeland Security gestartet wurde. Die dort registrierten Projekte werden von Coverity durchgängig beobachtet. (akl)