Open sourcessa turva-aukko joka tuhannella rivillä
11
Yhdysvaltojen hallituksen rahoittama hanke avoimen lähdekoodin turvallisuuden nostamiseksi on tuottanut yllättäviä tuloksia. Linuxista, Firefoxista, Apachesta ja noin 250 muusta ohjelmasta on löytynyt tuhansia turva-aukkoja. Muutama projekti on korjannut ongelmat esimerkillisesti, mutta osa on vasta alkutekijöissään.
Projektin nimi on Open Source Hardening Project, ja sitä rahoittaa Yhdysvaltojen sisäisen turvallisuuden ministeriö. Turva-aukkoja etsivät Coverity-yritys ja Stanfordin yliopisto. Projekti alkoi maaliskuussa 2006, ja nyt melkein kahden vuoden jälkeen turva-aukkoja on jo korjattu 7826 kappaletta.
Tuhat riviä tarkoittaa yhtä turva-aukkoa
Pcworld-lehden tietojen mukaan turva-aukkoja olisi kokonaisuudessaan löytynyt noin yksi aina jokaista tuhatta koodiriviä vastaan. Koodirivejä on käyty läpi noin 50 miljoonaa, joten eriasteisia turva-aukkoja on yhteensä löytynyt mahdollisesti jopa 50 000 kappaletta.
Kyseessä ei välttämättä ole kuitenkaan valmis koodi. Coverityn tekniikka toimii myös web-sivustolla, jossa avoimen lähdekoodin kehittäjät voivat testata projekteihin laitettavaa koodia. Niinpä osa ongelmista on voitu estää jo ennen lähdekoodin julkaisua.
11 esimerkillistä projektia - kymmeniä huolettomia
Coverityn mukaan 11 avoimen lähdekoodin projektia on noussut niin sanotulle rung 2 -asteelle. Näissä turva-aukot on korjattu esimerkillisesti ja heidän käyttöönsä annetaan uusia työkaluja. Näihin projekteihin kuuluu Amanda, NTP, Openpam, Openvpn, Overdose, Perl, PHP, Postfix, Python, Samba ja TCL.
Coverity kuitenkin kertoo, että valtaosa projekteista on vielä asteella rung 1 tai jopa rung 0, jossa korjauksia ei ole kovinkaan innokkaasti.
