主要なオープン ソース ソフトウェア プロジェクトで Coverity Scan後 6 分間ごとにバグを修正

米国国土安全保障省との Coverity による調査の結果、32 の最も普及しているオープン ソース プロジェクトの開発者は結果公開後から 1 週間で平均 6 分ごとに欠陥を修正

2006 年 4 月 3 日LINUXWORLD ボストン発 - 世界最先端のスケーラブルなソースコード解析ソリューションのメーカーである Coverity, Inc. は本日、ソフトウェア品質の測定基準を確立した米国国土安全保障省 (DHS) のために Coverity が請け負った解析作業を完了した翌週には、オープン ソース開発者たちが 6 分ごとにソフトウェア欠陥を修正しているという暫定所見を公表しました。32 のオープン ソース プロジェクトについて 7 日間にわたって解析した欠陥密度で、1000 行あたりの欠陥数は 0.434 から 0.371 に下がりました。Linux および Windows ネットワークとの接続に広く利用されているオープン ソース プロジェクトである Samba では、開発者コミュニティからの反応が非常に迅速で、Samba のソフトウェア欠陥は最初の 7 日間で 216 から 18 に減りました。

Samba 開発チームの代表者である Jeremy Allison 氏は、「Coverity を使用した結果、これまで申し分なく堅牢で動作確認済みと自負していた Samba に一部バグが見つかりました。Coverity は、Samba プロジェクトのコード品質に大きく貢献しています。」と述べています。

Coverity の CTO である Ben Chelf は、「オープン ソースコミュニティは、脆弱性発生後、即座にソフトウェア欠陥修正プログラムを作成するのが常道です。Coverity の長期的目標の 1 つは、弊社テクノロジとオープン ソース開発モデルをいかにして組み合わせて、脆弱性発覚直後に欠陥を修正し、オープン ソースソフトウェアかどうかにかかわらず、すべてのソフトウェアの開発プロセスを促進してセキュリティを強化できるのかを模索することです。」と述べています。

欠陥公表後の 1 週間以内に、200 人を超えるオープンソース開発者がオンライン欠陥データベースに安全にアクセスするために登録し、その情報を使用して 900 以上もの欠陥を解決しました。これは平均で 1 時間に 5 個以上のバグが修正されていることを意味します。Amanda および XMMS プロジェクトの開発者は、Coverity ソリューションによる解析で検出されたすべてのソフトウェア欠陥を解消しました。Amanda の開発コミュニティはその後、Coverity によって画期的なゼロ欠陥を達成したことを全面に打ち出したバックアップおよびリカバリ ソフトウェアのメジャー バージョン (2.5) をリリースし、公表を得ています。

DHS との契約期間は 3 年ですが、「脆弱性の検出および修正オープン ソース強化プロジェクト」は 1 月に発表されたばかりで、いくつかのオープン ソースプロジェクトの開発に既に好影響を与えています。Linux、Solaris、その他の主要なディストリビューションで広く利用されている X Window オープン ソース ソフトウェアのメーカー X.Org は、Coverity ソリューションによる解析から 1 週間以内に Coverity ソリューションによって重大なセキュリティの脆弱性が見つかったことを発見しました。この脆弱性は、攻撃者にログインで任意のコードが実行されたり、ルート権限でサービス拒否攻撃を受けたりする原因になります。その後セキュリティ勧告が公表され、ベンダからパッチが提供されました。

Allison 氏によれば、「Coverity のソースコード解析テクノロジを使用することは、人間をはるかに超える注意力を備えた開発者に作業を任せるようなものです。最初にコードを記述したときには見過ごしていたすべての状況および境界条件を指摘してくれるのです。」ということです。

オープン ソース開発者からフィードバックされたソフトウェア欠陥の初回レビューの概要は次のとおりです。

プロジェクト名	初回 欠陥数 2006 年 3 月 6 日	1 週間後の 欠陥数 2006 年 3 月 13 日	2 週目の 欠陥数 2006 年 3 月 20 日
Amanda	108	0	0
XMMS	6	0	0
Samba	216	18	0
Ethereal	143	19	19
Icecast	12	2	2
SQLite	31	10	6
Gcc	140	99	97
Gaim	113	57	51
Net-SNMP	148	87	61

結果の要約の最新の表、欠陥の安全なデータベースへのアクセス、調査の説明は http://scan.coverity.com/ で利用できます。

Coverity の CEO が LinuxWorld ボストンで LAMP の品質とセキュリティについて講演 Coverity の CEO である Seth Hallem が、2006 年 4 月 4 日の午後 2時 30 分から 3 時 30 分まで、LinuxWorld ボストンにおいて LAMP スタックの品質とセキュリティについて講演する予定です。演題は「LAMP アプリケーションの品質とセキュリティに関する事実を認識する」(Get the Facts on LAMP Applications Quality and Security) で、現在 Coverity が進めているオープン ソースソフトウェアの解析作業の詳細を発表する予定です。

4 月 3 日 Coverity (http://www.coverity.com/) は、ソフトウェアの欠陥とセキュリティの脆弱性を特定するための世界最先端のスケーラブルなソースコード解析ソリューションのメーカーであり、サンフランシスコに本社を置く株式非公開企業です。Coverity は、スタンフォード大学のコンピュータ科学者たちによって 2002 年に設立されました。彼らの 4 年間にわたる研究プロジェクトから、ソフトウェア業界のコストの大きい問題を解決するための画期的な技術が生み出されました。この研究の画期的な成果により、開発者は何千万行もの新しいコードまたは既存のコード内のソフトウェアの欠陥とセキュリティ脆弱性を迅速かつ正確に排除できます。Coverity のソリューションは現在、Juniper Networks、Symantec/VERITAS、McAfee、Synopsys、NASA、PalmOne、Sun Microsystems、Wind River などの 100 社以上の大手企業で利用されており、これらの企業のソフトウェアの品質およびセキュリティを大幅に向上させています。

Coverity は Coverity, Inc. の登録商標です。Coverity Extend および Coverity Prevent は Coverity, Inc. の商標です。その他の会社名および商品名は各社の商標または登録商標です。

LinuxWorld ボストンの Coverity のブース番号は 34 です。

【本リリースに関するお問い合わせ先】
コベリティ 日本支社
PR担当：仲嶋
TEL: 03-5909-8838
Email: knakajima@coverity.com

【製品に関するお問い合わせ先】
コベリティ 日本支社
渡辺　晃一郎
TEL: 03-5909-8838
Email: kwatanabe@coverity.com