19868

Fehlersuche in Open Source Software

10.01.2008 | 14:27 Uhr |

Ein von der US-Regierung gefördertes Projekt sucht nach Schwachstellen in Open Source Software. Inzwischen haben immerhin 11 Programmpakete die höchste Sicherheitsstufe erreicht, während andere Entwickler noch nicht einmal mit der Fehlerbeseitigung begonnen haben.

Die Feststellung, dass auch Open Source Software, deren Quelltexte von jedem einsehbar ist, Programmierfehler enthält, kann kaum überraschen. Kaum ein Programm, das ein wenig komplexer ist als Programmierfingerübungen wie "Hello World", ist frei von Bugs. Oft stellen solche Fehler problematische Sicherheitslücken dar. Das Unternehmen Coverity und die Universität Stanford betreiben das "Open Source Hardening Project", das im Auftrag des US-Ministeriums für Heimatsicherheit (DHS) eine automatisierte Fehlersuche in wichtigen Open Source Produkten durchführt, die auch von Regierungsstellen eingesetzt werden.

Seit März 2006 hat Coverity nach eigenen Angaben etwa 50 Millionen Zeilen Quelltext aus 250 Software-Projekten gescannt und damit geholfen 7826 Programmierfehler zu beseitigen. Im Durchschnitt hat Coverity Scan dabei etwa einen problematischen Fehler in 1000 Zeilen Quelltext entdeckt. Dabei stellt jedoch keineswegs jeder Fehler eine ausnutzbare Sicherheitslücke dar.

Einige der teilnehmenden Projekte sind sehr fleißig beim Beseitigen der gefundenen Fehler und so haben sich 11 von diesen für die höchste Sicherheitsstufe "Rung 2" qualifiziert. Dies sind Amanda, NTP, OpenPAM, OpenVPN, Overdose, Perl, PHP, Postfix, Python, Samba, und TCL. Sie können somit eine stark verbesserte Version von Coverity Scan nutzen, die auch viele bislang unentdeckte Probleme finden kann.

So haben etwa die Samba-Entwickler bereits 228 Fehler ausgeräumt, die Coveritys Analyse-Software in 450.000 Zeilen Quelltext gefunden hat. Damit erreicht Samba eine Fehlerquote von 0,018 Bugs pro 1000 Zeilen Code. PHP erreicht bei einer vergleichbaren Quelltextlänge sogar nur 0,004 Fehler pro 1000 Zeilen.

Andere Projekte wie der Apache Web-Server, der Linux-Kernel oder Web-Browser Firefox sind ebenfalls auf einem guten Weg, haben jedoch noch etliche Fehler zu beseitigen. Die Entwickler von FreeBSD und der Datenbank Firebird scheinen hingegen noch nicht einmal damit begonnen zu haben die gemeldeten Bugs auszumerzen.

Coverity zählt auch über 350 Unternehmen zu seinen Kunden, die proprietäre Software-Produkte ("Closed Source") auf Fehler prüfen lassen. Dazu zählen neben der Raumfahrtbehörde NASA auch die Sicherheitsunternehmen Cisco, Checkpoint, PGP, RSA, VMware, McAfee, Panda Security, Symantec und Trend Micro. Diese wollen jedoch nicht, dass Zahlen über die gefundenen Fehler veröffentlicht werden.

0 Kommentare zu diesem Artikel
19868