Coverity、脆弱性への対応が迅速な11のOSSプロジェクトを発表

文:Peter Judge(CNET News.com) 翻訳校正:編集部2008年01月15日 17時26分
  • このエントリーをはてなブックマークに追加

 ソースコード分析会社のCoverityは、オープンソースソフトウェアに存在する7500件以上のセキュリティ脆弱性を発見し、修正するのに一役買った。同社はまた、こうした脆弱性の解決に向けて迅速に対応した11のオープンソースプロジェクトのリストを公開した。

 これは、オープンソースコードの堅牢化を目指す米国政府支援のプロジェクトの一環である。

 CoverityのオープンソースストラテジストであるDavid Maxwell氏は、「これら11のオープンソースプロジェクトに携わる開発者に賛辞を送りたい。彼らはコードのセキュリティと品質を第2段階に引き上げた」と述べている。

 米国土安全保障省(DHS)がスポンサーとなっているこのOpen Source Hardening Projectは、CoverityのScanを使用し、欠陥の改修と欠陥を作らないための対策の実施状況に応じてオープンソースプロジェクトをランキングしている。

 Rung 2と新しく判定されたのはAmanda、NTP、OpenPAM、OpenVPN、Overdose、Perl、PHP、Postfix、Python、Samba、TCLの11のプロジェクト。Coverityによると、これは、「そのオープンソースアプリケーションは十分な信頼をもって利用」できることを意味するという。

 このほか、数件のプロジェクトがあと数カ月でRung 2に上がれそうだという。Open Source Hardening Projectは2006年1月に始まり、2007年始めに対象を150プロジェクトに拡大した。

 Coverityはソースコードを静的に分析し、角括弧の閉じ忘れなどコードの誤りを発見する。Rung 2に達したプロジェクトは、今後は同社の「充足可能性」技法を利用することになる。この技法はソフトウェアシステムで行われるすべての操作をブール値(真または偽)とブール演算子(and、not、orなど)に変換し、そのシステムをビットレベルで詳細に表現する。

 Coverityによると、このタイプの分析法は商用プログラミングとしては最初のもので、Rung 1のツールでは見落としてしまうバグも特定することができるという。

 このプロジェクトによって、オープンソースソフトウェアのセキュリティが向上することは確かだが、結果に関する報道は、オープンソースソフトウェアに存在するセキュリティ脆弱性についてニュースの形で悪い評判となるのではないかと危惧する声もある。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加