Dat stelt Coverity, dat al sinds 2006 de code van projecten scant op fouten. In 2006 kreeg die maker van analysesoftware van de Amerikaanse regering de opdracht om mee te helpen aan de kwaliteitsverbetering van open source-projecten. Overheidsdiensten in Amerika maakten namelijk steeds meer gebruik van open source, dus was (en is) het belangrijk dat die code beter en dus veiliger wordt.

Veel verholpen bugs

In het kader van dat streven is er een website waar open source-projecten en ontwikkelaars hun code kunnen aanbieden ter analyse. Vervolgens deelt Coverity de projecten in klassen in op basis van het aantal fouten dat de ontwikkelaars moesten verbeteren. Vier projecten hebben sindsdien de hoogste status gekregen: Samba, tor, OpenPAM en Ruby.

Over het algemeen is de ‘foutdichtheid’ in de afgelopen drie jaar gekelderd met 16 procent. Zo’n 11.200 bugs zijn verholpen, waarvan 6000 in het eerste jaar. Volgens het nieuwste rapport zijn er tot nu toe meer dan 60 miljoen regels code bekeken van 280 projecten. Ontwikkelaars van meer dan 180 van die projecten bieden hun code regelmatig aan voor analyse.

Overigens wil een goede analyse niet zeggen dat een programma goed werkt. De analyse vertelt wel of code goed in elkaar zit en zich houdt aan de best practices die ervoor gelden.

Bepaalde fouten blijven

Over het algemeen wordt de open source-code wel beter, maar een bepaald soort fouten blijft hardnekkig bestaan. Zo wijst het rapport van Coverity op de NULL Pointer deference, waarbij een programma toegang probeert te krijgen tot geheugen dat niet bestaat. Daardoor kan een applicatie crashen en is er het risico van exploits. Hackers kunnen verwijzingen tot die lege locaties gebruiken om toegang tot een systeem te krijgen.

Pointers komen veel voor en er zijn veel oorzaken waardoor ze niet altijd goed gericht worden, vertelt cto en mede-oprichter Andy Chou van Coverity aan Internetnews. “Pointers worden zo vaak gebruikt dat de kans op een fout heel groot is. Zelfs als ontwikkelaars maar in een klein percentage van de gevallen fouten maken, dan nog is het absolute aantal fouten groot omdat ze zoveel gelegenheid hebben om de fout in te gaan.”

Chou voegt daaraan toe dat ontwikkelaars lering zouden moeten trekken uit het scanrapport, omdat het precies laat zien waar ze de fout in blijven gaan. Hij denkt ook dat ze hun programmeergewoonten moeten aanpassen en proberen om dezelfde fouten niet opnieuw te maken.

Freeware, open source en malware

Precies op de dag dat het rapport van Coverity uitkwam, hekelt topman Jon Shalowitz van internetbedrijf Nominum open source-code. Hij zegt tegen ZDnet dat open source inherent onveiliger is dan closed source-software. De reden is dat hackers de broncode kunnen bekijken en onderzoeken op fouten.

Daarbij is het overigens opmerkelijk dat hij 'freeware' zegt als hij open source bedoelt. “Freeware is dan wel niet hetzelfde als malware, maar het stelt klanten wel bloot aan problemen”, zegt hij in het interview.

Ontwikkelaar Bert Hubert van PowerDNS noemt het stuk op ZDnet dan ook een advertorial. Bovendien onthult hij dat Nominum juist de ‘onveilige’ software gebruikt waar het zich nu tegen afzet. Een van de Nominum.com nameservers draait namelijk de freeware-software BIND. Daarnaast zijn zowel de webserver als het besturingssysteem waar de webpagina’s van Nominum op draaien open source: respectievelijk Apache en Linux, schrijft hij op zijn blog.

Bron: Techworld.nl.