据一项美国政府资助项目的首次结果显示:最受欢迎的开源软件,通常也是程序错误最少的软件。而这一项目也在努力实现开源软件具备良好的安全性。
3月6日,程序分析工具制造商Coverity宣布,名为“LAMP”开源代码软件堆叠(stack)的程序错误几率,即每1000行程序的错误数量减少到低于其计划32项开源项目的错误底线。
美国国土安全部(Department of Homeland Security)拨款124万美元,以赞助斯坦福大学、Coverity和Symantec公司,目标是找出开放源代码软件的程序错误,并且改进Coverity的商用源代码分析工具。这项始于今年元月的赞助,将进行为期三年的“开放源代码强化计划”(Open Source Hardening Project)。
LAMP堆叠包括Linux操作系统、Apache网络服务器、MySQL数据库和比如PHP、Perl或Python的一种指令语言。目前该项目正向主流商业计算发展,将成为Java和微软的.Net的竞争对手。
Coverity说到,在分析中,总共有32项开放源代码计划中的超过1,750万行程序被扫描。结果发现,平均每1000行程序出现0.434个错误。但LAMP堆叠“表现出明显较佳的软件质量”,平均每1000行程序只有0.29个错误。
但Coverity指出一项警讯:目前受欢迎的指令语言PHP,即是LAMP堆叠中唯一错误密度超过基线的软件。
在扫描的其它开放源代码中,Amanda备份工具的错误密度最高,每1000行达1.237。密度最低的是XMMS声音播放器,每1000行扫描到0.051个错误。
仅仅看绝对数字而言,错误最多的是Linux与Unix中低端显卡界面软件X。Coverity在X中找出1,681个程序错误。
Coverity的分析工具扫描到的40条错误都是最关键的安全弱点和编码错误。该公司并未详细说明其发现具体的错误范围。分析结果也不能用来评断开放源代码程序与专有程序的安全性,因为后者不适合于扫描和错误查找。
Coverity表示,作为政府赞助资金的一部分,史丹福大学与Coverity已经建立一套每日扫描代码的系统,以促进源代码计划的健康发展。分析结果的数据库开放给所有软件开发员,以便进行必要的修补。
责任编辑:张琎
