Das Coverity-Scan-Projekt hat bekannt gegeben, dass insgesamt elf Open-Source-Projekte, darunter die gängigen Skript-Sprachen Perl und PHP, die zweite Sprosse der Sicherheits-Leiter von Scan erreicht haben. Die Spezialisten haben bisher im Rahmen des Projekts entdeckte Fehler behoben und damit zur Sicherheit im Web beigetragen. "Das sieht sehr vorteilhaft für Open Source aus", beurteilt Mikko Hyppönen von F-Secure die Initiative positiv.
Scan analysiert mit einer Engine von Coverity Open-Source-Projekte auf Fehler im Quellcode, die Sicherheitslücken verursachen können. "Die kostenlose Anwendung eines kommerziellen Produkts zur Analyse von Open Source ist ein Vorteil", meint Hyppönen. Wie groß der Gewinn an Sicherheit im Web sein könne, hänge dabei von der Qualität der Analyse-Engine ab, die Hyppönen nicht bewerten konnte. Prominente Projekte wie etwa Linux, Apache und PHP wurden automatisch in die Scan-Anlaysen aufgenommen, kleinere Projekte können sich inzwischen selbst um Scan-Betreuung bewerben. Durch Behebung entdeckter Fehler erreichen sie auf der Scan-Sicherheitsleiter eine höhere Sprosse ("Rung"). Anfangs wird ein Projekt als "Rung 0" eingestuft, fast 100 Projekte haben inzwischen zumindest "Rung 1" erreicht.
"Elf sorgfältige Projekte, die alle auf 'Rung 1' gefundenen Mängel behoben haben werden als erste auf 'Rung 2' hochgestuft. Diese Projekte sind Amanda, NTP, OpenPAM, OpenVPN, Overdose, Perl, PHP, Postfix, Python, Samba und TCL", sagt Coverity-Mitarbeiter David Maxwell. Belohnt werden die Projekte mit einem verbesserten Interface für den Zugang zu den Scan-Analysedaten und erweiterten Funktionen. Dafür werden sie jetzt mit einer in den letzen 18 Monaten verbesserten Analyse-Engine geprüft, um noch weitere, auf der bisherigen Stufe nicht entdeckte Mängel ans Licht zu bringen.
Scan wurde im März 2006 in Zusammenarbeit von Coverity mit der Universität Stanford gestartet. Finanziert wurde das Projekt vom US Department of Homeland Security (DHS). "Sie haben erkannt, wie verbreitet Open-Source-Software genutzt wird", meint Hyppönen. Verbesserungen in Qualität und Sicherheit sind daher wichtig " Das US DHS gibt sein Geld sehr vernünftig aus", ist Hyppönen daher überzeugt. Im ersten Jahr wurden 50 Software-Projekte in C und C++ überprüft und nach Angaben von Coverity über 6.000 Mängel auf Basis der Ergebnisse von Scan behoben. Inzwischen wurde Scan auf annähernd 300 Projekte inklusive solcher auf Java-Basis ausgedehnt. (pte/rw)