Die Sicherheit und Qualität von Open-Source-Software wird immer besser; das zeigt eine Code-Analyse des US-amerikanischen Unternehmens Coverity.
Über 55 Millionen Zeilen Code aus mehr als 250 Open-Source-Projekten hat Coverity bislang für den „Scan Report on Open Source Software 2008“ untersucht. Der Quellcode wurde über einen Zeitraum von zwei Jahren mit einer Analyse-Software namens Coverity Prevent unter die Lupe genommen. Finanziert wird das Projekt von dem US-amerikanischen Department for Home Security, dem Pendant des deutschen Innenministeriums (Linux-Magazin Online berichtete. Betrachtet wurde beispielsweise der freie Webserver Apache, der Linux-Kernel, der Firefox-Browser sowie Skriptsprachen wie PHP und Ruby oder das Samba-Projekt.
Hauptverantwortlich für das Scan-Projekt ist bei Coverity der Software-Entwickler David Maxwell, der selbst Code für das freie Betriebssystem NetBSD schreibt. Er wird am Mittwoch die Ergebnisse in einem Webinar vorstellen. Für den Branchendienst Infoworld beschreibt er die Funktionsweise: „Wir lassen den Quellcode durch unser statisches Analysetool laufen, das bestimmte Typen von Software-Fehlern identifiziert, und die Entwickler können das Ergebnis betrachten.“ In der Untersuchung kommt Coverity zu der Erkenntnis, dass die Qualität und Sicherheit von Open-Source-Software fortlaufend besser wird. Im Analysezeitraum wurden insgesamt mehr als 8500 individuelle Defekte am Quellcode beseitigt, was einem Rückgang von 16 Prozent in der Fehlerdichte entspricht. Im ersten Jahr waren es etwas mehr als 6000 Fehlerbehebungen in rund 50 Open-Source-Projekten. Auch Rückschlüsse auf die Verbreitung bestimmter Fehler will die Analyse möglich machen: Hiernach kam am häufigsten die Fehlermeldung „Null pointer reference“. Entgegen bisherigen Annahmen konnten die Forscher keinen Zusammenhang zwischen Fehlerdichte und Funktionslänge bei statischen Code-Analysen nachweisen. Coverity stellte weiterhin fest, dass die Größe der Codebasis und die Zahl der Defekte so eng voneinander abhängen, dass Vorhersagen mit 72 Prozent Trefferquote möglich waren.
Die Analyse-Software entstand unter Federführung der kalifornischen Stanford-Universität und wird als kommerzielles Produkt von Coverity vertrieben; das Unternehmen verantwortet auch die aktuelle Untersuchung.Der Software-Scan ist ein Teil des „Open Source Hardening Project“, ins Leben gerufen vom US-amerikanischen Innenministerium, und wird für freie Projekte auf der Scan-Webseite angeboten. Die meisten untersuchten Codezeilen waren in C geschrieben, aber auch C++ ist in der Statistik dabei. Seit November 2007 kann das Software-Tool auch Java-Code untersuchen. Neben Coverity erhielten der Security-Anbieter Symantec und die Stanford-Universität Fördergelder im Rahmen des Projekts mit einem Etat von 1,25 Millionen US-Dollar, das seit März 2006 läuft und auf drei Jahre angelegt ist.
