プレスリリース
Linux カーネルのセキュリティと品質がこの 6 か月間で大幅に改善 - 最新の Coverity 調査により判明
2005 年 8 月 3 日 サンフランシスコ発 – 世界最先端のスケーラブルなソースコード解析ソリューションのメーカーである Coverity, Inc. は本日、Linux カーネルのセキュリティと品質に関する新しい解析結果を発表しました。Coverity では 6 か月前に Red Hat Enterprise Linux 4.0 で使用されているバージョンである Linux カーネル 2.6.9 を解析し、中心となるファイルシステムとネットワーキングコードに 6 個の重大な欠陥を検出しました。本日発表された最新の Linux カーネル 2.6.12 の解析結果では、すべての重大な欠陥が修正されたと報告されています。
「Coverity はカーネルコミュニティで作業を行い、カーネルに関する長期間にわたる正確性およびセキュリティの多数の問題を識別するのを支援してきました。Linux カーネルのバージョン 2.6.12 には、Coverity による解析の結果行われたバージョン 2.6.9 に関する多数の修正が反映されています。カーネルにはさまざまなクラスのエラーはなく、将来カーネルに紛れ込むエラーを排除する手段を当社が持っていると Coverity に判断してもらえたことに感謝しています。」と、2.6 Linux カーネルのカーネル主任保守管理者である Andrew Morton 氏は述べています。
「6 か月の調査で Linux カーネルのサイズは大きくなりましたが、中心となる Linux カーネルでは重大な欠陥は大幅に減少したことがわかりました。コントリビュータが新たな欠陥をもたらしましたが、それらは基本的に重要性の低いデバイスドライバの欠陥でした。」と、Coverity の経営最高責任者である Seth Hallem は述べています。
Coverity は主要な Linux カーネルを中心に解析を行いました。Red Hat や Novell などのベンダは基本となる Linux カーネルを使用し、配布前にソフトウェアを変更することがよくあります。これまでは、多くの IT システム管理者は最新のソフトウェアパッチを適用するのを躊躇することがありました。そのパッチによって新たな欠陥が発生する場合があるからです。Coverity の解析では、カーネルに新たな欠陥が発生したものの、既知の重大な欠陥はすべて修正済みであることを明らかにしています。
今回、約 600 万行のソフトウェアが解析されましたが、1000 行のコードあたり欠陥 0.17 個 (2004 年 12 月) から 0.16 個 (2005 年 7 月) に なり、欠陥密度は 2.2 % 低下しました。
調査の要約を以下に示します。
| Linux (2004 年 12 月) | Linux (2005 年 7 月) | コメント | |
|---|---|---|---|
| ファイルシステムのバッファ オーバーラン | 5 | 0 | 重大な欠陥 |
| ネットワークのバッファ オーバーラン | 1 | 0 | 重大な欠陥 |
| コードの行数 | 579 万行 | 603 万行 | 4.7 % 増加 |
| 欠陥合計数 | 985 | 1,008 | 重要性の低い欠陥がやや増加 |
| 欠陥密度 | 0.17 | 0.16 | 数値が小さい方が優秀 |
サンフランシスコで行われる LinuxWorld の詳細 Coverity の経営最高責任者である Seth Hallem は、Linux カーネルに関する 4 年間にわたるセキュリティと品質に関する解析について LinuxWorld で講演を行います。この講演は、2005 年 8 月 9 日 (午前 10 時 15 分) にモスコーンセンターで行われます。Coverity の解析テクノロジのデモンストレーションと Linux の解析結果についての説明は、Coverity のブース (No.859) で行われます。
解析結果の公表
タイプ別の欠陥数の概要は、Coverity からすぐにプレスおよび一般向けに発表されます。特定の欠陥に関する技術的詳細は、実際の Linux カーネル開発者向けに発表します。解析の詳細を説明したレポートは 2005 年 8 月末に発表する予定です。
Coverity, Inc.(コベリティ インク)について
Coverity (www.coverity.com) は、ソフトウェアの欠陥とセキュリティの脆弱性を特定するための世界最先端のスケーラブルなソースコード解析ソリューションのメーカーであり、サンフランシスコに本社を置く株式非公開企業です。Coverity は、スタンフォード大学の科学者たちによって 2002 年に設立されました。彼らの 4 年間にわたる研究プロジェクトから、ソフトウェア業界のコストのかかる問題を解決するための画期的なアプローチが生み出されました。この研究の画期的な成果により、開発者は何千万行もの新しいコードまたは既存のコード内のソフトウェアの欠陥とセキュリティ脆弱性を迅速かつ正確に排除できます。 Coverity のソリューションは現在、Juniper Networks、VERITAS、McAfee、Synopsys、NASA、PalmOne、Sun Microsystems、Wind River などの 75 社以上の大手企業で使用されており、これらの企業のソフトウェアの品質を大幅に向上させています。
Coverity は Coverity, Inc. の登録商標です。Coverity Extend および Coverity Prevent は Coverity, Inc. の商標です。その他の会社名および商品名は各社の商標または登録商標です。
【本リリースに関するお問い合わせ先】
コベリティ 日本支社
PR担当:仲嶋
TEL: 03-5909-8838
Email: knakajima@coverity.com
【製品に関するお問い合わせ先】
コベリティ 日本支社
渡辺 晃一郎
TEL: 03-5909-8838
Email: kwatanabe@coverity.com
お客様の声
「メモリの取り扱いに関するバグの発生率は限りなくゼロに……」
株式会社外為どっとコム
「解析の精度で選びました」
株式会社コナミデジタルエンタテインメント
「開発者が頼れる開発者のためのツールです」
株式会社シンプレクス・コンサルティング
「バグ解析の精度は、“目からうろこ”でした。」
株式会社セガ
「見つけにくいバグを発見できる特効薬でした」
三菱電機株式会社