Coverity、オープンソースソフトウェアの欠陥数調査報告を発表

ソースコード分析会社 Coverity が、オープンソースソフトウェアの持つソースコード上の欠陥について調査報告を発表した。同調査では32種のプロジェクトを検査したが、いわゆる『LAMP』を構成するソフトウェアの平均欠陥密度 (ソースコード1000行あたりの欠陥数) は、全体の平均欠陥密度よりも低い (欠陥の数が少ない) ことが分かった。LAMP とは、Web アプリケーションを運用するために用いる一般的なオープンソースソフトウェア、すなわち『Linux』『Apache』『MySQL』『Perl』『PHP』『Python』の頭文字から作った造語だ。

米国土安全保障省 (DHS) は今年初めに、助成金プロジェクト『Vulnerability Discovery and Remediation, Open Source Hardening Project』(脆弱性の発見と修正によるオープンソース強化プロジェクト) を発表している。オープンソースソフトウェアのセキュリティ強化のため、スタンフォード大学、Symantec、および Coverity に対し、3年間で総額124万ドルの助成金を交付するというものだ。

DHS の支援プロジェクト初の成果が、今回 Coverity が発表した調査報告だ。報告によると、LAMP ソフトウェアのソースコードに存在する欠陥密度 (ソースコード1000行あたりの欠陥数) は、現在6種平均で0.290だという。調査した32種 (LAMP ソフトウェア6種を含む) の人気オープンソース ソフトウェア全体の欠陥密度は、平均で0.434だった。

LAMP ソフトウェア個別の欠陥密度は、PHP だけが0.474で平均値を上回ったものの、ほか5種は平均値を下回る数字となった。欠陥密度が高かった順に挙げていくと、Python が0.372、Apache が0.250、Linux (コアカーネルコードのみ) が0.233、MySQL が0.224、そして Perl が0.186となっている。

Coverity が DHS の助成を受けずに行なった以前の調査でも、Linux カーネルおよび MySQL データベースの欠陥密度が低いことが明らかになっている。

Coverity の CTO (最高技術責任者) Ben Chelf 氏は、今回の調査で明らかになった欠陥分布に関して、驚くべき点はないと述べている。

同氏は取材に対し、「平均欠陥密度は、概ねわれわれの予想通りだった」と語った。

しかし LAMP ソフトウェアの中でも、飛び抜けて欠陥密度が低かった Perl については、Chelf 氏も驚いたという。

調査の対象になった32のオープンソース ソフトウェアのうち、人気があるものの欠陥密度を並べてみると、『Firefox』が0.355、『Gaim』が0.352、『GNOME』が0.458、『GCC』が0.202、『Samba』が0.695という結果だった。