プレス リリース « プレス リリース メインに戻る

Coverity により 4 年間の解析によって、Linux カーネル ソフトウェアの品質とセキュリティは、大部分の企業独自のソフトウェアより優れていることが判明しました。
スタンフォードのコンピュータ サイエンス研究者は 5,700 万行のソフトウェア コードを解析し、985 のソフトウェア バグを見つけています。それらの大部分は、オープン ソース コミュニティによって解決されています。


2004 年、12 月 14 日、サンフランシスコ発 – ソフトウェア構築手法の改善を主な目的とするソフトウェア エンジニアリング企業である Coverity は本日、Linux カーネルのソースコードの 4 年間にわたる解析による Linux セキュリティの集計結果を発表しました。Coverity は、Novell や他の有力な Linux ソフトウェア会社から現在提供されている Linux 2.6 オペレーティング システム製品のカーネルの中の 5,700 万行のコードから 985 のバグを発見しました。

米国国土安全保障省の前サイバーセキュリティ担当部長である Amit Yoran 氏は今月、国土安全および情報保証に関するワシントン D.C. のコンファレンスで、ソフトウェアの安全性確保のために自動コード デバッガが必要であることを述べました。

カーネギー メロン大学の CyLab が設立した Sustainable Computing Consortium によれば、商用ソフトウェアの開発では、通常、1,000 行のコードごとに 20 〜 30 のバグが含まれています。

Linux ソースコード解析プロジェクトは、2000 年にスタンフォード大学のコンピュータ サイエンス研究センターで、ソフトウェア業界における中核ソフトウェアのエンジニアリング プロセスの改善を目的とする大規模調査イニシアティブの一部として開始されました。このイニシアティブは Coverity において継続されています。Coverity は、スタンフォード大学の主導的な立場にある 5 名の研究者によって設立された商用ソフトウェア会社です。Coverity の顧客には、ネットワーキング、電気回路の自動設計、およびストレージ分野のトップ ベンダが含まれています。

公共事業として、Coverity は、バグ解析レポートの定期的な提供を開始し、Linux 開発コミュニティが自由に利用できる結果の要約を作成しています。

「これは Linux 開発コミュニティの利益をもたらします。Linux のセキュリティおよび安定性の向上を可能にする Coverity の尽力に感謝します。Coverity によって発見された重大なバグを既に修正しました。Coverity は、高品質のコードを作り出すための非常に有効なシステムです」と、Linux カーネルの主任保守管理者である Andrew Morton 氏は述べています。

「Linux の主な開発者は、全世界で最大の商用 IT ベンダが自らのソフトウェア開発プロセスに統合しているものと同じツールを使用できます。当社の調査では、Linux のソース・コードに含まれるバグは 1,000 行あたり 0.17 であり、格段に低い欠陥率です。これは、Linux のセキュリティが強固であることを証明しています。ソフトウェアにおけるセキュリティ ホールの多くはソフトウェアのバグが原因であり、正しいプログラミング プロセスによって取り除くことができます。」と、Coverity の経営最高責任者である Seth Hallem は述べています。

Coverity では、次の 5 つの領域の Linux のバグを見つけました。

  • クラッシュの原因となる欠陥
  • プログラムの誤動作
  • パフォーマンスの低下
  • API の不適切な使用
  • セキュリティの弱点

985 のバグの内、627 は、カーネルの重要な部分に存在し、次のような破綻を生じました。

  • クラッシュの原因 : 569
  • バッファ オーバーラン : 25
  • パフォーマンス低下 (リソース リーク) : 33
  • セキュリティ : 100

バグの要約は、http://linuxbugs.coverity.com に掲載されています。

Linux カーネル開発コミュニティで活動しているメンバは、Coverity に連絡することによって、詳細なバグ レポートを入手できます。


Coverity の製品について
SWAT のコアとなる技術は、C および C++ の開発者によって使用される多種多様のハードウェアおよびソフトウェア プラットフォーム上で実行されます。正確さとスケーラビリティの両方において、数ある中でも優れたソースコード解析ソリューションです。他の多くの競合技術とは異なり、SWAT では、ソースコードの既知の危険なコーディング パターンや粗雑なコーディング構造を探すのではなく、実行環境でのソースコード内の動作による影響をシミュレートします。その結果、必ず解決しなければならない重大な実行時エラーの可能性があるものが、SWAT の解析プラットフォームによって検出されます。また、SWAT は、既存のビルド システムや既存の開発ツールをまったく変更しないで既存のソフトウェア開発手法に簡単に統合できるように設計されています。


Coverity について
Coverity, Inc. (www.coverity.com) は、ソフトウェア構築手法の改善を主な目的とするソフトウェア エンジニアリング企業です。ハードウェア設計は、自動化および検証に対して多額の投資を行うに値する困難な業務であると常に考えられてきました。一方、ソフトウェアの構築も同様に困難であるという概念は、近年になってその信憑性を市場で得たに過ぎません。Coverity は、ソフトウェア開発サイクルに余分な負担をかけず、致命的なエラーやセキュリティ侵害の原因となる欠陥をソフトウェア開発者が特定できる、高度な自動ツールによるソースコード解析ソリューションによってその先見性を実践するため設立されました。


広報担当
Craig Oda
Page One PR for Coverity
Tel:650-565-9800 x102
coda@pageonepr.com

David Park
dave@coverity.com
(415) 321-5204

« プレス リリース メインに戻る