Coverity、脆弱性への対応が迅速な11のOSSプロジェクトを発表

　ソースコード分析会社のCoverityは、オープンソースソフトウェアに存在する7500件以上のセキュリティ脆弱性を発見し、修正するのに一役買った。同社はまた、こうした脆弱性の解決に向けて迅速に対応した11のオープンソースプロジェクトのリストを公開した。

　これは、オープンソースコードの堅牢化を目指す米国政府支援のプロジェクトの一環である。

　CoverityのオープンソースストラテジストであるDavid Maxwell氏は、「これら11のオープンソースプロジェクトに携わる開発者に賛辞を送りたい。彼らはコードのセキュリティと品質を第2段階に引き上げた」と述べている。

　米国土安全保障省（DHS）がスポンサーとなっているこのOpen Source Hardening Projectは、CoverityのScanを使用し、欠陥の改修と欠陥を作らないための対策の実施状況に応じてオープンソースプロジェクトをランキングしている。

　Rung 2と新しく判定されたのはAmanda、NTP、OpenPAM、OpenVPN、Overdose、Perl、PHP、Postfix、Python、Samba、TCLの11のプロジェクト。Coverityによると、これは、「そのオープンソースアプリケーションは十分な信頼をもって利用」できることを意味するという。

　このほか、数件のプロジェクトがあと数カ月でRung 2に上がれそうだという。Open Source Hardening Projectは2006年1月に始まり、2007年始めに対象を150プロジェクトに拡大した。

　Coverityはソースコードを静的に分析し、角括弧の閉じ忘れなどコードの誤りを発見する。Rung 2に達したプロジェクトは、今後は同社の「充足可能性」技法を利用することになる。この技法はソフトウェアシステムで行われるすべての操作をブール値（真または偽）とブール演算子（and、not、orなど）に変換し、そのシステムをビットレベルで詳細に表現する。

　Coverityによると、このタイプの分析法は商用プログラミングとしては最初のもので、Rung 1のツールでは見落としてしまうバグも特定することができるという。

　このプロジェクトによって、オープンソースソフトウェアのセキュリティが向上することは確かだが、結果に関する報道は、オープンソースソフトウェアに存在するセキュリティ脆弱性についてニュースの形で悪い評判となるのではないかと危惧する声もある。