Gesubsidieerd door de Amerikaanse overheid voert Coverity in samenwerking met de Stanford Universiteit en Symantec de testen uit onder de noemer Open Source Hardening Project. Daarmee moet het vertrouwen dat bedrijven hebben in open source toe gaan nemen. De site is sinds 2006 in de lucht, en is gebaseerd op het commerciële Prevent pakket van de beveiliger.

De onderzoekers werken met een laddersysteem, en selecteren de projecten die gescand worden zelf. Alle pakketten komen binnen op 'rung 0' (sport 0) van de ladder, en worden regel voor regel gescand op bugs. Met de resultaten kunnen eventuele lekken gedicht worden, waarna er een nieuwe scan wordt gedraaid. Het bedrijf levert ook gereedschap voor code-analyse aan de ontwikkelaars. Coverity stelt dat het dagelijks 50 miljoen regels code scant van meer dan 250 producten. Zevenduizend van de gevonden bugs zijn onderhand verholpen, zo claimt het bedrijf.

Als een project voldoende getest is om 'rung 1' te halen kunnen de ontwikkelaars toegang krijgen tot de gegevens. Ze worden toegevoegd aan een mailinglijst om mee te praten over de resultaten, en ze kunnen extra analyse-tools krijgen van Coverity.

Rung 2

Elf programma's krijgen vanaf nu de nieuwe 'rung 2' score toebedeeld van software waar de problemen volgens de scan voor het grootste deel verholpen zijn, zo maakt David Maxwell van Coverity bekend op het blog van het scanproject. De elf projecten zijn Amanda, NTP, OpenPAM, OpenVPN, Overdose, Perl, PHP, Postfix, Python, Samba en TCL. De rung 2 classificatie moet een soort kwaliteitscertificaat worden. Bovendien krijgen de ontwikkelaars toegang tot meer diensten binnen de scan, zoals tools voor statische analyse. Scans op rung 2 worden ook uitgevoerd met een nieuwere versie van het Prevent pakket.

Grote namen als Firefox en de kernel van Linux 2.6 zitten nog op rung 1. Dat is niet heel vreemd: beide pakketten hebben respectievelijk 1,8 miljoen en 3,6 miljoen regels code. Het grootste stuk software op rung 2, Perl, komt tegen de half miljoen regels aan. Gemiddeld werd één fout gevonden op de duizend regels code, waar Firefox 0,162 scoort en de Linux kernel 1,27. Ook Apache, Gnome en FreeBSD behoren tot de 86 pakketten die nog op rung 1 bivakkeren. Bron: Techworld