米政府の支援でオープンソース ソフトの欠陥数が減少

米国土安全保障省 (DHS) は2006年初め、オープンソース ソフトウェアのコードの品質改善を支援するため、そうしたプロジェクトに対する複数年の助成金交付を決定した。それから2年半が経つが、どうやら支援は効果を上げているようだ。

DHS から助成金を受けているソースコード分析会社、Coverity の報告書によると、DHS の支援は、250のオープンソース プロジェクトの欠陥密度 (ソースコード1000行当たりの欠陥数) をこの2年間で16％引き下げるのに役立ったという。数にして8500件以上の欠陥が減少したことになる。

オープンソース ソフトウェアのセキュリティ強化に DHS の支援が成果を上げているとの報告は、オープンソース ソフトウェアが政府機関と米国企業の両方で、基幹インフラの一端を担う傾向が加速している中での発表となった。

Coverity のオープンソース ストラテジスト David Maxwell 氏は、取材に対し次のように語った。「オープンソース プロジェクトの欠陥密度の改善については、取り組みを開始した当初は欠陥数がコード1000行当たり平均0.30だったのが、今では0.25まで減少している。小さな変化のように感じるだろうが、コードにして5500万行余りと考えれば、この違いは大きい」

Coverity はコード分析ツールを手がける会社で、DHS が支援するオープンソース プロジェクトに対し、自社のスキャン ツールを使ってコードに含まれる欠陥の検出を行なっている。

DHS が助成する Coverity のスキャンは多くのプロジェクトに恩恵をもたらしたが、実際にはすべてのプロジェクトが欠陥を削減できたわけではない。

「報告書の中にグラフがあり、それを見ると、有意の改善を示したプロジェクトもある一方、スキャン結果を積極的に活用せず、実際には欠陥密度を上昇させてしまったプロジェクトもある」と、Maxwell 氏は述べた。

報告書のグラフは、欠陥密度を改善できなかったプロジェクトの名前を具体的に挙げてはいない。反対に、Coverity のスキャン結果を欠陥密度の改善に役立てることができたプロジェクトについては、同報告書に『Perl』『PHP』『Python』『Postfix』『Samba』『TCL』などの名前が挙がっている。