Open-Source: A Caccia di Bug 

Gli sviluppatori della comunità open-source stanno rapidamente correggendo manciate di bug in popolari pacchetti software, falle individuate grazie ad una iniziativa sponsorizzata dal governo statunitense. Stanford University e Coverity, azienda che produce tools di analisi del codice sorgente, hanno sviluppato un sistema che esegue scan giornalieri del codice prodotto in popolari progetti open-source. Il database di bug risultante è reso disponibile agli sviluppatori, quindi essi possono accedere facilmente ai dettagli necessari e correggere le debolezze dei loro software.

Questa iniziativa di "caccia al bug" nei software open-source fa parte del progetto triennale "Open Source Hardening Project", espressamente dedicato a far sì che questo tipo di software possa essere più sicuro possibile. A Gennaio scorso, l’U.S. Department of Homeland Security aveva stanziato $1.24 milioni a favore di Stanford University, Coverity e Symantec perchè si occupassero di scovare le vulnerabilità nei vari progetti open-source.

Più di 900 falle sono state riparate nelle due settimane successive al rilascio da parte di Coverity dei risultati del primo scan automatizzato sui 32 progetti open-source. Il risultato è che alcuni dei codici di questi software appaiono giù ora completamente "bug free", come riporta Coverity in uno statement. Ben Chelf, chief technology officer di Coverity, afferma: "La mia impressione è che la comunità open-source stia effettuando le correzioni degli errori nei software con grande rapidità". Nella sua analisi iniziale, condotta il 6 Marzo scorso, Coverity ha eseguito lo scan di più di 17.5 milioni di righe di codice in 32 progetti. In media si erano trovati 0.434 bug per 1000 righe di codice. Più di 200 sviluppatori si sono registrati sul sito di Coverity per accedere al database di bug online durante la settimana successiva alla pubblicazione dei primi risultati. I programmatori dei progetti Samba, Amanda e XMMS hanno iniziato a lavorare immediatamente e sono riusciti ad eliminare tutti i difetti che la prima analisi aveva fatto emergere nei loro software.

Samba, un popolare progetto open-source usato per connettere le reti Linux e Microsoft Windows, ha mostrato la più veloce "developer response", il numero di vulnerabilità era stato ridotto da 216 a 18 in una sola settimana e successivamente è stato portato a zero entro due settimane. Amanda, un tool di backup, aveva ottenuto i peggiori risultati dall’analisi di Coverity, cioè il più alto numero di bug per 1,000 righe di codice, con densità di 1.237. Gli sviluppatori di Amanda hanno però corretto i 108 difetti in un paio di settimane. XMMS, un audio player, vantava la più bassa densità di bug, 0.051 difetti per 1,000 righe di codice, e secondo Coverity ora le sei falle di sicurezza sono state tutte corrette.

Tra gli altri progetti monitorati segnaliamo anche Firefox (passato da 108 a 7 bug), PHP (da 204 a 42), Linux (da 1062 a 745), Apache Web server (da 32 a 24).

Fonte