最新の調査結果によると、最新版のLinuxカーネルでは、コードの中核的な部分に存在していた深刻なセキュリティ上のバグは修復されているが、新たに小さな不具合が複数あることがわかったという。
コード分析企業Coverityは2004年12月、オープンソースのオペレーティングシステム(OS)であるLinuxの中核をなすカーネルのバージョン2.6.9を調査し、ファイルシステムおよびネットワーク機能に関連するコードに、6個の深刻な脆弱性があることを突き止めた。さらにCoverityは2005年7月に、Linuxカーネルの最新版となる2.6.12を調査した。だが、ここではそうしたプログラミング上の問題は発見されなかったと、同社CEOのSeth Hallemは話している。
しかし、同バージョンカーネルのほかの部分では1008個に上る不具合が見つかった。Hallemは、これらのコーディングの問題は主にドライバに存在しており、セキュリティ上の脆弱性となる可能性もあると指摘する。Coverityによれば、前回の調査では合計で985個の脆弱性が見つかったが、今回はこれをやや上回る数の問題が発見されたと説明している。
「当社が以前発表した、カーネルの中核部分で見つかった問題に関しては、修復が施されている。だが、今も相変わらず問題のあるコードが記述されているようだ。新しいコードが書かれるたびに、新しいバグが見つかっている」(Hallem)
全体的なバグ密度(コード1000行当たりのバグ数)は、前回の0.17からわずかに下がり0.16となったことが、Coverityの調査で明らかになっている。
さらに今回の分析では、LinuxがOSとして、また中核的なコードのセキュリティにおいて、成熟し始めているという徴候が見られた。競合するOSを開発するMicrosoftがソフトウェアのセキュリティ強化に力を入れる中、Linuxのこうした徴候は、ユーザーの選択肢を充実させるという点でプラスに働くだろう。特に企業ユーザーは、魅力を感じるはずだ。
Coverityが利用しているコード分析ツールでは、CおよびC++プログラミングコードを記述するうえでの代表的なミスを調べることができる。同社は、発見した脆弱性の影響範囲については、詳細を公表していない。なお、ファイルシステムおよびネットワーク機能のコードにおける問題は、カーネルのそうした要素はあらゆるLinuxユーザーが利用する部分であることから、ほかの脆弱性より深刻度が高かったとHallemは述べている。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
