US-Regierung lässt Open-Source-Produkte auf Bugs prüfen

An einer ganz speziellen Frontlinie ist das U.S. Department of Homeland Security (DHS) aktiv. Die Heimatschutzbehörde lässt Open-Source-Programme auf Sicherheitslücken hin überprüfen.

Das DHS unterstützt die auf drei Jahre angelegte die Aktion mit 1,24 Millionen Dollar. Das »Open Source Hardening Project« lief im März 2006 an.

Die Open-Source-Anwendungen werden von der US-Firma Coverity, der IT-Sicherheitsfirma Symantec und Mitarbeitern der Stanford University unter die Lupe genommen. Die Ergebnisse sind auf dieser Web-Seite von Coverity nachzulesen. Allerdings wird nicht mitgeteilt, um welche Fehler es sichim Detail handelt.

In Phase 2, die Mitte der Woche anlief, überprüfen die Fachleute unter anderem Perl, PHP, Python, und Samba. Dabei kommt die neue Version von Coveritys Code-Scanner zum Einsatz.

Project Name Defect Summary Lines of Code Defects / KLOC Fixed Verified Uninspected AMANDA 128 31 0 97,488 0.000 ntp 8 2 19 56,210 0.000 OpenPAM 0 0 0 14,782 0.000 OpenVPN 0 1 13 69,667 0.014 Overdose 2 3 0 15,489 0.000 Perl 46 1 91 497,724 0.030 PHP 77 7 5 473,775 0.004 Postfix 3 0 0 124,183 0.008 Python 77 2 6 284,926 0.004 Samba 228 2 110 447,024 0.018 tcl 23 21 33 120,473 0.000

Bislang wurden mehr 7800 Sicherheitslücken entdeckt. Das bedeutet, dass auf 1000 Zeilen Programmcode ein Sicherheitsproblem kommt.