Washington (USA) – Nel 2006 lo U.S. Department of Homeland Security ( DHS ) ha avviato un’iniziativa, chiamata Open Source Hardening Project, che si prefigge di migliorare la sicurezza delle più diffuse applicazioni open source, setacciandone il codice alla ricerca di vulnerabilità di sicurezza. Il progetto ha ora pubblicato un sintetico resconto dei risultati delle sue attività, di cui ad oggi hanno beneficiato oltre 250 software open source .
Basato su tecnologie sviluppate da Stanford University , Coverity e Symantec ], il sistema automatico di rilevazione dei bug tiene traccia di tutti gli errori di programmazione scovati e li inserisce automaticamente in un database che può essere consultato sul Web dagli sviluppatori open source. Il motore di analisi , sviluppato da Coverity, è in grado di setacciare il codice alla ricerca di oltre 20 tipi di vulnerabilità , inclusi i famigerati buffer overflow. Il tool è anche in grado di fornire agli sviluppatori suggerimenti su come ovviare alle problematiche di sicurezza più comuni.
Coverity ha fatto sapere che, ad oggi, ha portato alla luce bug di sicurezza in più di mille linee di codice sui 50 milioni analizzati , scovando un totale di 7800 vulnerabilità in circa 180 applicazioni open source. Tra i programmi esaminati più di recente vi sono Amanda, NTP, OpenPAM, OpenVPN, Overdose, Perl, PHP, Postfix, Python, Samba e TCL. In passato la società, sempre in seno al progettone DHS, aveva scandagliato il server web Apache, il browser Firefox e il kernel di Linux.
DHS afferma che il suo progetto, finanziato dal Governo USA con 300mila dollari , mette a disposizione della comunità open source tecnologie di test e analisi del codice che oggi solo aziende di medie e grandi dimensioni possono permettersi. Tutti i bug scovati dal “setaccio digitale” di Coverity vengono segnalati ai rispettivi progetti open source, così che gli sviluppatori possano rapidamente sistemarli. In Samba, ad esempio, la società americana afferma di aver portato alla luce oltre 230 falle di sicurezza, quasi tutte già tempestivamente corrette.