米Coverityは米国時間3月6日,オープンソース・ソフトウエアの品質に関して調査した結果を発表した。32のオープンソース・ソフトウエア・プロジェクトを分析したところ,LAMPスタック(Linu/Apache/MySQL/Perl/PHP/Python)の品質が平均を大きく上回っていることが明らかになった。
米政府が出資した同調査では,米スタンフォード大学との協調により1750万行以上のソースコードを分析してソフトウエアの品質とセキュリティを測定する新しい基準の設立に取り組んでいる。調査の結果,ソースコード1000行あたりに含まれるバグ数は平均0.434だったが,LAMPスタックの平均バグ数は0.290だった。
これまでに同社は,独自の検査を通じてLinuxカーネルとMySQLデータベースにおけるバグ検出密度が商用ソフトより低いことを明らかにしている。米メディアの報道(internetnews.com)によると,同社のインタビューに対してCoverity社CTOのBen Chelf氏は,「平均バグ検出密度は,われわれの予測とほぼ一致していた。しかし,Perlのパフォーマンスには驚かされた」とコメントしている。
調査の結果,Perlのバグ検出密度は0.186だった。LAMPの中でもPythonは0.372を記録し,PHPは全体の基準とLAMPの平均を超える0.474だった。その他の対象となったプロジェクトのバグ検出密度をみると,Firefoxが0.355,Gaimが0.352,Gnomeが0.458,GCCが0.202,Sambaが0.695だった。
Chelf氏は,同プロジェクトがバグ密度の測定ではなく,オープンソース・アプリケーションのセキュリティ強化を目的としていると説明。「コード内のどのようなバグもセキュリティ・ホールに成り得る」として見つかったバグに対処するように呼びかけている。
今回の調査は,同年1月11日に米国土安全保障省の科学技術局(DHS S&T)が発表したプロジェクト「Vulnerability Discovery and Remediation Open Source Hardening Project」の一環として行なわれたもの。同プロジェクトは,コンピュータ・システムに依存するインターネットなどの国内電気通信インフラを保護するための技術開発と実装の促進を目的としている。Coverity社,スタンフォード大学,米Symantecは,DHS S&Tとの3年間契約により124万ドルの助成金を受けて主要なオープンソース・ソフトウエアのセキュリティの検査を進めている。
◎関連記事
■「Linuxカーネル2.6のバグは商用ソフトより格段に少ない」,米調査
■米政府がオープンソースのセキュリティ強化で大学や企業に助成金
■ MySQL vs Oracle,買収合戦の行方
■セキュリティ関連団体のCSIA,「米政府の情報インフラ向上に対する取り組みは不十分」
[発表資料へ]
