Die Code-Analysten von Coverity sehen trotz der Heartbleed-Schwäche in Open SSL keinen Anlass, die Qualität und Sicherheit von Open Source grundsätzlich anzuzweifeln.
Das Open-SSL-Projekt gehört zu den über 1500 Projekten, die sich für kostenlose statische Analyse ihres Quelltexts beim Unternehmen Coverity registriert haben. “Open SSL zählt allerdings nicht zu unseren aktivsten Projekten,” räumt Zack Samocha, Senior Director of Products bei Coverity, auf Anfrage des Linux-Magazins ein. “Mit statischer Analyse kann man einiges finden, aber auch nicht alle Arten von Fehlern,” fügt er hinzu.
Zack Samocha von Coverity sieht keinen Grund, Open-Source-Software grundsätzlich zu misstrauen.
Coverity hat den Heartbleed-Vorfall allerdings aufgegriffen und einige Tage nach dessen Bekanntwerden seinen Tools einen weiteren Algorithmus hinzugefügt, um Schwächen vom Heartbleed-Typ zu finden. Die Open-SSL-Entwickler erhielten rasch einen Prototypen. In Zukunft sollen auch andere Open-Source-Projekte von der neuen Prüfung profitieren. In einem Blogeintrag des Coverity-CTO Andy Chou sind Details nachzulesen.
“Daneben muss ein Projekt auch geeignete Prozesse für den Umgang mit entdeckten Problemen schaffen. Dazu gehört es, offen mit Sicherheitslücken umzugehen und rasch Patches zur Verfügung zu stellen,” erklärt Samocha. Vorbildlich verhalte sich hier der Linux-Kernel, dem die jüngste Fehlerstatistik überdurchschnittliche Qualität bescheinigt hat (wir berichteten): “Der Kernelentwickler Dave Jones hat sich der Sache angenommen und einen passenden Prozess eingerichtet. Daneben fixen sie die gefundenen Probleme schnell.”
Open-Source-Projekte hätten mittlerweile hervorragende Möglichkeiten, ihren Code untersuchen zu lassen, schließt Zack Samocha das Gespräch ab: “Sie können den Code auf Github stellen und dann Coverity Scan sowie Continuous Integration mit Travis CI einrichten, und das alles in kurzer Zeit.” Damit stünden sie sogar im Vergleich zur Industrie gut da. “Ich sehe keinen Grund, sich von Open Source abzuwenden.”
