Дичев Уеблог  

От Департамента по Вътрешна Безопастност на САЩ е проведено изследване на програмното осигуряване с отворен код (Open Source). Според данните от изследването, засегнало 160 от най-използваните софтуерни продукти с отворен код, средно на всеки 1000 реда програмен код има 1 грешка или опасна уязвимост, водеща до опасност от атака на системата или неоторизиран достъп.

Проекта за Затвърдяване на Отворения Код (Open Source Hardening Project) е иницииран и спонсориран от американски ведомства, едновременно проведен от изследователската компания Coverity и Стандфордския Университет. Проектът стартира в края 2006 година с бюджет от 300 000 щатски долара.

В заявление на Департамента по Вътрешна Безопастност на САЩ се споменава, че почти във всички изследвани проекти са намерени неизвестни до началото на проекта грешки, включително критични. За една година са анализирани 50 милиона реда програмен код, част от 250 различни open-source проекта и са получени данни за 7826 уязвимости.

От компанията Coverity съобщават също, че са провели разширено тестване на 400 комерсиални продукта със затворен код по поръчка на държавните органи и разработчиците на тези продукти. След проверката нито поръчителите на изследването, нито разработчиците на софтуер са позволили оповестяване на резултатите от проучването на комерсиалните продукти.

Изследванията показват, че много от продуктите с отворен код са преминали през няколко цикъла на тестване, в резултат на което броят на грешките е намалявал с публикуването на патчове за корекцията им. Въпреки това, според Coverity има 11 продукта, които са преминали 3 рунда тестове и продължават да съдържат предишните си уязвимости и грешки. Изброенети от компанията open-source продукти са: Amanda, NTP, OpenPAM, OpenVPN, Overdose, Perl, PHP, Postfix, Python, Samba и TCL. Намерени са критически грешки и в масови продукти като ядрото на Linux, Apache и Firefox.

По думите н Дейвид Максуел, аналитик в Coverity, вторият рунд от изследванията представлява максимално строго тестване, в което са използвани най-сложните и модерни мехнизми за детектване, включително различни предикативни методи и евристичен анализ. Максуел споменава, че в случайте, когато продукти достигат до втори рунд на изследване, това означава, че продукта е годен за масова употреба в различна среда.

Друг факт, отбелязан при изследванията е максималната оперативност на създателите и разработчиците на софтуер с отворен код при отстраняване на грешките. Например софтуерният продукт Samba съдържа около 450 000 реда програмен код, в който за една година са открити 236 пропуска и са корегирани напълно 228 до завършване на изследването.

Тагове: software, usa

Публикувано на 2008-01-27 в категория Интересно. Може да следите коментарите по тази публикация чрез RSS. Можете да добавите коментар или да използвате trackback от вашата страница.