Coverity исследовала безопасность открытого кода

image

Теги: безопасность, открытое ПО, Open Source

Компания Coverity, разработчик инструмента для автоматического исследования безопасности и качества программного обеспечения на основе сканирования и анализа исходного кода, опубликовала первые результаты за 2010 год в документе под названием "Отчёт о корректности Open Souce ПО".

Компания Coverity, разработчик инструмента для автоматического исследования безопасности и качества программного обеспечения на основе сканирования и анализа исходного кода, опубликовала первые результаты за 2010 год в документе под названием "Отчёт о корректности Open Souce ПО". Последнее подобное исследование состоялось в 2008 году. Стоит напомнить, что программа Coverity Scan была начата в 2006 году как инициатива Министерства национальной безопасности США по обеспечению и усилению безопасности информационной инфраструктуры Соединенных Штатов, работающей на основе Open Source ПО.

В рамках исследования в этом году был проанализирован 61 миллион строк исходного кода 291 самых популярных и важных Open Source проектов, включая такие известные продукты как Android, Samba, Linux и Apache. Результаты этого года привели к следующим наблюдениям и выводам:

* В общей массе 45% обнаруженных дефектов в Open Source считаются очень опасными.

* Практически не изменился характер найденных ошибок и частота, с которой они встречаются. Это означает, что процесс тестирования в процессе разработки также не изменился. Результаты также демонстрируют факт того, что человеческий фактор легко позволяет просочиться подобным ошибкам в разработке.

* Ответственность за Open Source сильно фрагментирована. Учитывая высокие темпы в увеличении использования Open Source в цепочке поставок коммерческого ПО, исследователи из Coverity наблюдают увеличивающийся спрос на достижение прозрачности при развёртывании Open Source проектов.

Отдельным пунктом данного исследования, как уже было сказано ранее, является платформа Android. Поскольку различные вендоры используют разные версии Android, исследователи из Coverity остановились на Android, который поставляется вместе с HTC Droid Incredible. Android в этом устройстве использует Linux-ядро версии 2.6.32, а также дополнительные драйверы для обеспечения работы беспроводной сети, сенсорного экрана и фотокамеры. Исследование показало, что:

* Ядро Android в HTC Droid Incredible содержит в два раза меньше ошибок, чем другой средний продукт с таким же объёмом исходного кода.

* Ядро Android имеет лучший показатель числа ошибок на 1000 строк кода (LIC), однако исследование всё равно обнаружило 359 ошибок. Исследователи считают, что другие продукты на основе Android имеют схожее количество ошибок.

* Исследователи нашли 88 очень серьёзных ошибок в Android, или 25% от всех обнаруженных ошибок, включая порчу памяти, неправильное обращение к памяти, утечка ресурсов - все эти типы ошибок являются критическими и могут привести к проблемам в безопасности, потере данных, нестабильности в работе и ухудшению качества. Обычно подобные ошибки пользователи Coverity исправляют до выхода продукта на рынок.

* Ответственность за Android сильно фрагментирована, ибо Android состоит из множества программных продуктов, за которые отвечают тысячи никак несвязанных друг с другом людей. Немаловажную роль в этой проблеме играет и наличие ПО от самого производителя - ведь практически ни один вендор не поставляет немодифицированный Android.

Полный отчёт о найденных ошибках компания Coverity уже отправила ответственным лицам и заинтересованным сторонам. Остаётся надеется, что ошибки будут исправлены и качество Open Source улучшится.


или введите имя

CAPTCHA
Страницы: 1  2  3  
34649
03-11-2010 11:25:34
а если в этот анализатор загнать исходники поделий негрософта ???
0 |
а вот вам
03-11-2010 11:30:14
он вылетит с ошибкой "Fatal error. In this random symbols code not found"
0 |
Cmex
03-11-2010 11:52:36
Очевидно же, угроз безопасности найдено не будет. Пацанам же надо отрабатывать деньги спонсора.
0 |
Прохожий
03-11-2010 12:00:25
Вы тему то не меняйте. Исследования показали, что глубоко любимый красноглазиками софт, от которого вы тащитесь - это дырявое гуано. Исследования говорят также, что в свободных продуктах сложно найти единого разработчика, который смог бы найти корень проблемы и устранить. Это означает, что Вася Пупкин пользуясь СПО и имея исходники далеко не всегда сможет исправить уязвимость. Как считаете, почти половина ошибок критические - это нормально? Получается, что большинство ошибок ни кто не хочет и не будет исправлять.
0 |
03-11-2010 12:07:28
1. интересно,что за методики поиска ошибок использовались и насколько они коректны. 2. интересно было бы услышать конкретику про апач. а так - похоже на очередной заказ со стороны "небольшой компании". да и вообще, если есть такая тулза, которая позволяет обнаруживать ошибки по исходникам автоматически, несколько удивлен, что подобным не пользуется тот же редхат или бубунтоиды
0 |
03-11-2010 12:08:53
"коректны" чаще всего пишется как "корректны"
0 |
Прохожий
03-11-2010 12:17:54
Интересно, когда люди научатся задавать вопросы не в коментах, а в поисковиках? http://en.wikipedia.org/wiki/Coverity http://ru.wikipedia.org/wiki/Статический_анализ_кода
0 |
04-11-2010 12:06:14
и чего? я тоже могу написать хелловорлд и сказать, что он у меня офигенный статический анализатор. и будет он находить по 100 ошибок в хелловорлде на бейсике. ни о чем
0 |
03-11-2010 12:14:52
Исследования показали, что осенью тролли активизируется. По видимому, чтобы составить конкуренцию шизофреникам. Чтобы последним не скучно было.
0 |
94454
03-11-2010 12:45:49
А разве не всегда на секлабе "новости" проходят, а только осенью?
0 |
03-11-2010 16:56:39
Речь не о новостях Секлаба, а об активности троллей. Про "новости" и периодичность их выхода - это не ко мне. У меня свои "новости" есть. Не имеющие никакого отношения к секлабу.
0 |
xD
03-11-2010 15:09:49
Чувак, тролли постоянно активны. Тролли-линуксоиды троллят на форумах про венду, тролли-фанаты(сектанты) Касперского троллят на всех форумах
0 |
WC
06-11-2010 22:08:47
Копирасты-идеалисты, линуксо-фанаты, восторженные кавом ламеры - всем им также трудно доказать что-то, как футбольным фанатам. Не тратьте нервы.
0 |
кирпич на голову Прохожего
03-11-2010 12:03:10
Тролль. Жирный Тролль.
0 |
ruces
03-11-2010 16:19:29
Эмоциональные комментарии типа все "виндузятники-козлы" или "красноглазые-уроды", показывает уровень владения материалом. Спецы, подозреваю, от комментов воздерживаются-не хотят быть по беспределу оплёваны "фанатами".
0 |
Страницы: 1  2  3