ソースコード分析会社のCoverityは、オープンソースソフトウェアに存在する7500件以上のセキュリティ脆弱性を発見し、修正するのに一役買った。同社はまた、こうした脆弱性の解決に向けて迅速に対応した11のオープンソースプロジェクトのリストを公開した。
これは、オープンソースコードの堅牢化を目指す米国政府支援のプロジェクトの一環である。
CoverityのオープンソースストラテジストであるDavid Maxwell氏は、「これら11のオープンソースプロジェクトに携わる開発者に賛辞を送りたい。彼らはコードのセキュリティと品質を第2段階に引き上げた」と述べている。
米国土安全保障省(DHS)がスポンサーとなっているこのOpen Source Hardening Projectは、CoverityのScanを使用し、欠陥の改修と欠陥を作らないための対策の実施状況に応じてオープンソースプロジェクトをランキングしている。
Rung 2と新しく判定されたのはAmanda、NTP、OpenPAM、OpenVPN、Overdose、Perl、PHP、Postfix、Python、Samba、TCLの11のプロジェクト。Coverityによると、これは、「そのオープンソースアプリケーションは十分な信頼をもって利用」できることを意味するという。
このほか、数件のプロジェクトがあと数カ月でRung 2に上がれそうだという。Open Source Hardening Projectは2006年1月に始まり、2007年始めに対象を150プロジェクトに拡大した。
Coverityはソースコードを静的に分析し、角括弧の閉じ忘れなどコードの誤りを発見する。Rung 2に達したプロジェクトは、今後は同社の「充足可能性」技法を利用することになる。この技法はソフトウェアシステムで行われるすべての操作をブール値(真または偽)とブール演算子(and、not、orなど)に変換し、そのシステムをビットレベルで詳細に表現する。
Coverityによると、このタイプの分析法は商用プログラミングとしては最初のもので、Rung 1のツールでは見落としてしまうバグも特定することができるという。
このプロジェクトによって、オープンソースソフトウェアのセキュリティが向上することは確かだが、結果に関する報道は、オープンソースソフトウェアに存在するセキュリティ脆弱性についてニュースの形で悪い評判となるのではないかと危惧する声もある。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
