DHS szuka dziur w open source

Przedstawiciele amerykańskiego Departamentu Bezpieczeństwa Narodowego (Department of Homeland Security - DHS) zaprezentowali statystyki dotyczące błędów w oprogramowaniu open source, zebrane w ramach projektu Open Source Hardening Project (którego celem jest wykrycie i załatanie luk w aplikacjach o otwartym źródle). Z przedstawionych danych dowiadujemy się, że w 180 popularnych aplikacjach open-source wykryto średnio jeden błąd związany z bezpieczeństwem na każde 1000 linii kodu.

Departament Bezpieczeństwa Narodowego jest inicjatorem i sponsorem projektu Open Source Hardening Project - wyszukiwaniem błędów i ich usuwaniem zajmują się specjaliści z uniwersytetu Stanforda oraz firmy Coverity. Początki tej inicjatywy sięgają marca 2006 r. - wtedy to DHS poinformował o stworzeniu projektu i przyznaniu mu grantu w wysokości 300 tys. USD. Głównym celem OSHP jest wyszukanie i usunięcie błędów z popularnych programów open source (w testach skupiono się przede wszystkim na 180 programach wykorzystywanych przez amerykańskie instytucje rządowe).

Z przedstawionych właśnie przez ekspertów z Coverity statystyk dowiadujemy się, że we wszystkich analizowanych programach znaleziono "znaczącą liczbę" luk związanych z bezpieczeństwem. Do tej pory w 250 przeanalizowanych "otwartych" programach znaleziono łącznie 7,8 tys. błędów (sprawdzono ok. 50 mln linii kodu). Warto zaznaczyć, że firma Coverity zajmuje się również analizowaniem pod kątem luk oprogramowania komercyjnego o zamkniętym kodzie - jednak jej klienci nie zgodzili się na opublikowanie statystyk dotyczących błędów w ich produktach.

Przedstawiciele projektu mówią, że w większości przypadków autorzy analizowanego oprogramowania ściśle współpracowali z nimi w zakresie sprawdzania informacji o błędach i ich usuwania. W minioną środę 11 aplikacji uwzględnionych w projekcie awansowało do jego kolejnej fazy - tzw. Rung 2. Pozostałe wciąż pozostają w fazie Rung 0 lub Rung 1. Oznacza to, że ich autorzy nie zaczęli jeszcze usuwać wykrytych w ramach Open Source Hardening Project błędów lub są na bardzo wczesnym etapie tego procesu.

Na liście 11 aplikacji, które awansowały do Rung 2 są: Amanda, NTP, OpenPAM, OpenVPN, Overdose, Perl, PHP, Postfix, Python, Samba oraz TCL. W fazie Rung 0 i 1 pozostają m.in. Apache, kernel Linuksa oraz popularna przeglądarka Firefox.

"Rung 2 to obecnie najwyższy poziom bezpieczeństwa w ramach Open Source Hardening Project - autorzy oprogramowanie, które do niego awansowało, jak do tej pory usunęli ze swoich produktów kilka różnych klas i typów błędów oraz problemów jakościowych" - mówi David Maxwell, specjalista ds. bezpieczeństwa open source w Coverity. Jako przykład aplikacji, która awansowała do Rung 2, Maxwell podał Sambę - z której usunięto już 228 z 236 wykrytych błędów.

Przejście na wyższy poziom testów oznacza m.in., że autorom "otwartych" aplikacji udostępnione nowe, bardziej skuteczne i szczegółowe narzędzia do wykrywania błędów.


Zobacz również