Viranomaishanke löysi 10 500 open source -turva-aukkoa
33
Yhdysvaltojen hallituksen sponsoroimassa hankkeessa on löydetty yli kymmenen tuhatta eri asteista turva-aukkoa avoimen lähdekoodin 32 tärkeimmästä sovelluksesta. Esimerkiksi Linuxista löytyi yli tuhat aukkoa, X-käyttöliittymästä yli 1 600 aukkoa, Gnome-työpöytäsovelluksesta lähes 900 haavoittuvuutta ja Netbsd-käyttöjärjestelmästä yli 3 200 turva-aukkoa.
Hankkeen ensimmäisistä tuloksista kertoi Coverity-yritys, joka valmistaa lähdekoodin automaattiseen tutkimukseen tarkoitettuja ohjelmistoja. Yhtiö sai Yhdysvaltain hallitukselta (U.S. Department of Homeland Security) tehtäväksi etsiä avoimen lähdekoodin aukkoja yhteistyössä Stanfordin yliopiston ja Symantecin kanssa. Ensimmäinen skannaus valmistui marraskuun 6. päivänä, ja 17,5 miljoonasta koodirivistä löytyi hämmästyttävät yli 10 500 turva-aukkoa.
Jo noin 4 000 reikää korjattu
Coverity on julkaissut listan, jossa kerrotaan eri ohjelmistoista löydetyt turva-aukot. Listasta ilmenee myös se kuinka monet niistä on ehditty korjata, ja koodin suhteellinen turva-aukkomäärä.
Yhdysvaltain viranomaisten tavoite turvallisemmista ohjelmista on tutkimuksen myötä edistynyt, sillä turva-aukoista on vajaassa kuukaudessa korjattu jo noin 4 000. 32 tutkitusta ohjelmistosta kahdeksasta on saanut korjattua jo kaikki aukot. Esimerkiksi Samban 216 aukosta oli viikon jälkeen jäljellä enää 18, ja kahden viikon jälkeen ohjelman kaikki reiät oli korjattu.
Linuxin ydinsovelluksissa tuhansia aukkoja
Kaikkein eniten ongelmia löydettiin Netbsd-käyttöjärjestelmästä (3230 turva-aukkoa, jäljellä 2385). Seuraavana tulivat X.org eli Linuxin graafinen käyttöliittymä (1681 turva-aukkoa, jäljellä 1441), Linuxin ydin 2.6 (1062 turva-aukkoa, jäljellä 745). Gnome-käyttöliittymästä aukkoja on putsattu nopeaan tahtiin (896 turva-aukkoa, jäljellä 207).
Suhteellisesti reikäisintä koodia kirjoitettiin Firebird-ohjelmahankkeessa. Aukkojen määrä on tutkimuksen aikana vain kasvanut 196:n, eli reikiä on 0,78 jokaista tuhatta koodiriviä kohden. Firefoxista löytyi 108 kahdeksan aukkoa, josta raportin teon aikaan oli jäljellä vielä 7.
Open Source Hardening Project -hanke kestää vielä kolme vuotta, ja sen tarkoitus on tehdä avoimista ohjelmista niin turvallisia kuin mahdollista. Turva-aukkojen määrää tarkastellessa on hyvä muistaa, että monet aukoista ovat varsin pieniä, eikä suurinta osaa voi mitenkään hyödyntää koneen ulkopuolelta.
