In januari vorig jaar heeft het Departement voor Binnenlandse Veiligheid (Department of Homeland Security) van de VS 1,24 miljoen dollar geschonken aan de universiteit van Stanford, diens spin-off Coverity en Symantec. Deze sponsoring dient om vlugger beveiligingsfouten te vinden in open source software en om Coverity's systeem voor code-analyse te verbeteren. Als onderdeel van dit drie jaar lopende "Vulnerability Discovery and Remediation, Open Source Hardening Project" hebben Stanford en Coverity een systeem gebouwd dat dagelijks de code die aan open source projecten toegevoegd wordt scant op fouten. Coverity's software scant continu 35 miljoen lijnen programmacode.

Dit is geen liefdadigheid van de Amerikaanse overheid. De reden dat ze geld steekt in dit project is eenvoudig: heel wat van de infrastructuur van de VS draait op open source software, bijvoorbeeld de DNS servers en internet backbones. De overheid heeft er dan ook alle belang bij dat de software regelmatig gecontroleerd wordt op veiligheidsproblemen. Open source software zit trouwens in meer programma's dan op het eerste gezicht lijkt. De open source compressiesoftware zlib wordt bijvoorbeeld gebruikt door MSN Messenger, Microsoft Office, QuickTime, Apache en nog honderden andere programma's.

In maart vorig jaar is Coverity begonnen met de resultaten van zijn veiligheidsscans online te zetten op scan.coverity.com. In het eerste jaar hebben ontwikkelaars per dag 16 van de gevonden defecten opgelost. In totaal zijn in iets meer dan een jaar tijd meer dan 6000 gevonden fouten in 50 open source programma's gefixt. Onlangs breidde het bedrijf het aantal gescande programma's tot 150 uit. Opvallend in de nieuwe lijst is dat er verschillende softwarebibliotheken voor het inlezen van audio- en videoformaten gecontroleerd worden. Het afgelopen jaar kende dan ook verschillende exploits tegen dit soort software.

Bron: http://be.theinquirer.net