プレス リリース « プレス リリース メインに戻る

LAMP ソフトウェア スタックの信頼性は、基準となるオープン ソース ソフトウェア以上 - DHS の依頼による Coverity の解析で判明
Coverity による米国国土安全保障省の研究解析で、ソフトウェアの品質とセキュリティの新しい測定基準が確立


2006 年 3 月 6 日、サンフランシスコ発。世界最先端のスケーラブルなソース コード解析ソリューションのメーカーである Coverity, Inc. は本日、全世界の多数の主要なオープン ソース ソフトウェア プロジェクトの品質の状態に関する包括的な研究成果を公表しました。これは、ソースコード解析を使用してソフトウェアの品質の測定基準を確立する最初の研究です。

政府資金による解析の一部として、Coverity は、スタンフォード大学のコンピュータ サイエンス学部による最新の調査を使用した、1750 万行以上のソースコードの綿密な解析に基づいて、オープン ソースのソフトウェアの品質およびセキュリティの新しい基準を確立しています。解析された 32 のオープン ソース ソフトウェア プロジェクトの平均が 1,000 行あたり 0.434 個であるのと比較して、LAMP スタック (Linux、Apache、MySQL、Perl/PHP/Python) は平均で 1,000 行あたり 0.290 個の欠陥であり、基準を上回る非常に良好なソフトウェア品質を示しています。

解析は、ソフトウェアのセキュリティと品質を向上するための米国国土安全保障省 (DHS) との契約によって初めて公開された結果です。「脆弱性の発見と修正によるオープン ソース強化プロジェクト」と呼ばれる 3 年間の契約には、Coverity およびスタンフォード大学のコンピュータ科学者によって開発された最新のソースコード解析技術の調査も含まれています。解析では、ソフトウェア内で検出される最も重要な欠陥の種類の多くが示されました。

「ソフトウェアの品質とセキュリティに関する調査の目標の 1 つは、オープン ソースおよび企業独自のソフトウェア プロジェクトのソフトウェアの信頼性を測定できる基準を定義することです。ソフトウェアのバグをすべて検出できる技術は存在しませんが、自動化された再現可能な解析フレームワークを通して、ソフトウェアの品質を具体的に評価し、最終的に品質を改善できる方法を示すことができる必要量のデータを収集しています。」と、Coverity の最高技術責任者である Ben Chelf は述べています。

オープン ソース開発モデルには、大規模なピア レビューに類似した処理の中で、多数の開発者によってソースコードのレビューが行われる「多くの眼」というアプローチの利点があります。これによって、しばしば LAMP スタック内にあるコードのような高品質のコードが得られます。Coverity の調査の 1 つの目的は、各ソフトウェア プロジェクトの 100 パーセントのコード パスの欠陥を自動的に解析することによって、このピア レビュー プロセスを進化させることです。これを Linux カーネルのみに対して手作業で行うと、それだけで 28 人年かかります。

解析の一部として、Coverity はオープン ソース プロジェクトのリーダーと共同で作業し、Coverity の調査結果をオープン ソース コミュニティで役立て、識別されたバグに修正を適用することを支援しています。

「Coverity の静的ソースコード解析は、Linux の品質とセキュリティを高めるための有効な手段であることが証明されています。比類のない速度と拡張性によって Linux カーネル内の欠陥の識別を支援する Coverity のさらなる貢献を歓迎いたします。」と、2.6 Linux カーネルの主任保守担当者である Andrew Morton 氏は述べています。

「Coverity の Prevent は、毎晩ソースコード スキャンを実行する FreeBSD プロジェクト開発プロセスに統合できる貴重なツールです。85 人の FreeBSD 開発者が現在登録され、Coverity によって生成されたバグ レポートをレビューして、何百という重要なバグ修正が行われました。その 1 つはセキュリティ勧告につながるものでした。Coverity の貢献によって、FreeBSD のソースコード ベースの品質は飛躍的に改善され、これは FreeBSD の開発者およびユーザーから高く評価されています。」と、FreeBSD 財団の会長である Robert Watson 氏は述べています。

「オープン ソース コミュニティで使用されるピア レビュー モデルは非常に強力なモデルであり、品質の高いソフトウェアの作成に有効であることが証明されています。LAMP スタックのようなオープン ソース ソフトウェアを活用するビジネスが増えているので、意思決定者が導入を選択するパッケージの相対品質およびセキュリティの理解を助けるためのニーズも出ています。」と、Coverity の共同設立者で以前はスタンフォード大学コンピュータ サイエンスの研究者であった David Park は述べています。

Coverity はオープン ソース プロジェクトの解析を引き続き実行し、新しいプロジェクトも追加していく予定です。このサービスの提供によって、プロジェクトのコードのすべての行が徹底的にレビューされます。また、各スキャンの結果は、オープン ソース プロジェクトの開発チームが自由に利用できるようになり、すばやい対応が可能になります。

「我々が発見した結果は、所定のコード ベースの品質およびセキュリティの自動的な評価における重要な第一歩となっています。しかし、目標は品質およびセキュリティの測定だけではなく、解析するプロジェクトの改善でもあります。解析結果をこれらのオープン ソース プロジェクトの中心的な開発者が利用できることで、開発者との共同作業によってコード ベースの欠陥や脆弱性の数を減らすことを希望しています。」と、Chelf は述べています。

Coverity は、一般大衆およびオープン ソース ソフトウェアの開発者向けに最新情報を提供する Web ベースのシステムを構築しました。システムでは継続的にオープン ソース ソフトウェアをダウンロードし、Coverity の静的ソースコード解析技術を使用して、ソフトウェアのスキャンを実行します。結果は毎日更新されます。一般の人々は結果の要約にすぐにアクセスできます。登録されたプロジェクトの保守担当者および主要な開発者はソフトウェアの欠陥の詳細にアクセスできます。

結果の要約の最新の表および欠陥の安全なデータベースへのアクセスは、http://scan.coverity.com で利用できます。

また、ソフトウェア開発者によるベースラインの使用方法に関する注釈付きの調査結果の説明も、http://www.coverity.com および http://scan.coverity.com から自由にダウンロードできます。


Coverity について
Coverity (www.coverity.com) は、ソフトウェアの欠陥とセキュリティの脆弱性を特定するための世界最先端のスケーラブルなソース コード解析ソリューションのメーカーであり、サンフランシスコに本社を置く株式非公開企業です。Coverity は、スタンフォード大学のコンピュータ科学者たちによって 2002 年に設立されました。彼らの 4 年間にわたる研究プロジェクトから、ソフトウェア業界のコストの大きい問題を解決するための画期的な技術が生み出されました。この研究の画期的な成果により、開発者は何千万行もの新しいコードまたは既存のコード内のソフトウェアの欠陥とセキュリティ脆弱性を迅速かつ正確に排除できます。Coverity のソリューションは現在、Juniper Networks、Symantec/VERITAS、McAfee、Synopsys、NASA、PalmOne、Sun Microsystems、Wind River などの 100 社以上の大手企業で利用されており、これらの企業のソフトウェアの品質およびセキュリティを大幅に向上させています。

Coverity は Coverity, Inc. の登録商標です。Coverity Extend および Coverity Prevent は Coverity, Inc. の商標です。その他の会社名および商品名は各社の商標または登録商標です。


広報担当
Craig Oda
Page One PR for Coverity
coda@pageonepr.com
+1 650 565 9800 x102

David Park
dave@coverity.com
+1 650 714 2335

« プレス リリース メインに戻る