Coverity, компания специализирующаяся в области интеграции и тестирования ПО, сегодня опубликовала сведения об архитектуре 2500 популярных открытых проектов, данные по которым собирались начиная с 2006 года. Исследование проводилось как часть контракта с министерством внутренних дел США (DHS), а его результаты доступны широкой публике под лицензией Creative Commons. В список тестирования попали такие широко известные проекты, как Amanda, NTP, OpenPAM, OpenVPN, Overdose, Perl, PHP, Postfix, Python, Samba, TCL, структура которых была проверена на предмет соответствия стандартам защищенности и быстродействия.

На сегодняшний день проследить все архитектурные особенности какого-либо открытого проекта не так уж и легко – специальных работ в этом направлении не велось и до сегодняшнего дня надобности в такого рода исследованиях не было. Но последние результаты показывают, что такой мониторинг может быть очень полезен в том числе и самим разработчикам. По его завершении было сообщено об устранении более 8500 уязвимостей и дефектов кода, выявленных в процессе сканирования, последний из которых был обнаружен на прошлой неделе в Wine 1.1.5.

Проект по сравнению и выявлению наиболее оптимальной и защищенной архитектуры разработки открытого ПО сам во многом стал примером рационального использования выделенных ресурсов. Так на первом этапе из отпущенных на исследование 250 проектов 1.24 млн. долларов компании удалось уложиться всего в 100 тысяч. Тем не менее это никак не отразилось ни на качестве проведенного анализа, ни на дальнейшем мониторинге изменений и выявлении новых уязвимостей, связанных с постоянной эволюцией кода и совершенствованием методов оценки.

Публикация результатов не говорит об окончании мониторинга. Разработчики opensource имеют возможность включить свои проекты в базу Coverity Scan, отправив письмо по адресу [email protected]. Также можно загрузить демо версию Coverity Architecture Analyzer,зарегистрировавшись на сайте компании.