オープンソース開発者、指摘された大量のバグを速やかに修復

　米政府が進めるバグ修復のための取り組みは、人気の高いオープンソースパッケージに大量のバグが存在することを指摘した。しかし、多くは開発者により速やかに修復される結果となった。

　ソースコードの分析ツールを提供しているCoverityは、32件のオープンソースプロジェクトを初めて調査したが、その結果を発表してから2週間以内に、900個を超える脆弱性が修復されたという。同社は米国時間4月3日、現在では一部のソフトウェアからバグが一掃されたとする声明を出した。

　Coverityの最高技術責任者（CTO）であるBen Chelf氏は、「オープンソース開発コミュニティは、驚くべき速さでソフトウェアの欠陥を修復するパッチを作成しているという印象を持った」と、声明の中で述べている。

　オープンソースからバグをなくす取り組みは、オープンソースソフトウェアの安全性を可能なかぎり高めることを目的とした3カ年計画「Open Source Hardening Project」の一環として行われている。米国土安全保障省は2006年1月、スタンフォード大学、Coverity、Symantecに、オープンソースプロジェクトの脆弱性を発見する資金として124万ドルを提供した。

　Coverityは、3月6日に実施した初期分析作業において、32のオープンソースプロジェクトの1750万行を超えるコードをスキャンした。同社は当時、1000行当たり平均0.434個のバグが発見されたと発表していた。

　Coverityが最初の調査結果を公表してから1週間のうちに、200名以上の開発者がオンラインバグデータベースへのアクセスを申し込んだ。Coverityが3日に明らかにしたところによると、「Samba」「Amanda」「XMMS」のプログラマらは、初期分析で発見されたすべての欠陥を排除したという。

　人気のあるオープンソースプロジェクトで、LinuxとMicrosoft Windowsのネットワークを接続するのに用いられるSambaの開発者が、最もすばやい対応を見せた。Coverityの発表後、216件あった欠陥は1週間以内に18件まで減り、2週間以内にはすべて修復された。

　Coverityによる第1回目の分析で最も成績が悪かったのは、バックアップツールのAmandaだ。コード1000行当たりのバグ数がいちばん多く、バグ密度は1.237となった。しかしAmandaの開発者らも、数週間のうちに108個の欠陥を修復した。

　音楽プレーヤーXMMSのバグ密度は最も低く、コード1000行当たり0.051という結果が出た。Coverityは、同アプリケーションの計6つのセキュリティホールは、すでに対処されていると述べた。