Doté d'une enveloppe initiale de 300 000 dollars, le programme Open Source Hardening Project a été lancé en mars 2006 avec pour mécène le département américain de la sécurité intérieure ( DHS ). Ce programme dont la conduite a été confiée à l'Université de Standford et à la société Coverity, a pour objectif de passer au crible le code de plusieurs logiciels open source (écrits en C et C++) parmi les plus populaires afin d'identifier les failles présentes, et ainsi contribuer au renforcement de leur sécurité.
Sur l'ensemble des logiciels audités par Coverity, soit 50 millions de lignes de code pour plus de 250 projets, tous ont été crédités d'un nombre significatif de vulnérabilités avec une moyenne de l'ordre d'un problème de sécurité détecté pour 1 000 lignes de code. Beaucoup de développeurs concernés ont tiré bénéfice de ces découvertes et depuis 2006, le nombre de défauts de sécurité corrigés s'élève à 7 826.
La société basée à San Francisco a par ailleurs défini plusieurs niveaux dans le processus de correction de bugs, soit 3 au total et a annoncé mardi que 11 projets open source ont atteint le niveau le plus élevé ( Rung 2 ). En raison des efforts fournis pour assurer de façon proactive l'intégrité et la sécurité des applications développées, Coverity indique que les entreprises et particuliers peuvent choisir avec encore plus de confiance les logiciels open source suivants : Amanda, NTP, OpenPAM, OpenVPN, Overdose, Perl, PHP, Postfix, Python, Samba et TCL.
A titre d'exemple, pour le cas du célèbre logiciel Samba autorisant notamment sous environnement Linux le partage de ressources avec des machines Windows, sur près de 450 000 lignes de code, 236 failles ont été découvertes et 228 corrigées.
Si tous les logiciels contrôles ne peuvent pas encore prétendre au Rung 2, certains le pourront dans les prochains mois mais en attendant, Firefox ou encore Apache restent cantonnés au Rung 1 (86 projets), voire au Rung 0 (173 projets) comme nmap ce qui signifie que les bugs détectés n'ont pas encore été corrigés.
Flux Rss
Version PDF
Commenter 
Dans le cadre d'un programme placé sous l'égide du gouvernement américain, la société Coverity a récemment publié la liste des 11 premiers projets open source presque exempts de défauts de sécurité. 
