X

Linux安全漏洞較少

研究:Linux安全漏洞較少
卡內基梅隆大學軟體工程研究所的開發理論分析提到,美國電腦安全夥伴之軟體生命週期工作小組今年4月公佈的報告顯示,一般的專有軟體每千行程式有1到7個錯誤。
Mmm... 看來每千行就要小小 Review 過一次比較保險~:)


以下轉載自 研究:Linux安全漏洞較少
CNET新聞專區:Robert Lemos  14/12/2004
根據一項14日公佈的研究報告,Linux作業系統的程式錯誤,比一般商業軟體少許多倍。
程式分析公司Coverity利用長達4年的研究,發現Linux核心作業系統最新版本的570萬行程式中,總共只有985個錯誤。而根據卡內基梅隆大學的研究(Carnegie Mellon University),類似大小的一般商業軟體通常有5,000個以上程式漏洞或缺陷。
Coverity執行長Seth Hallem說:「以錯誤密度而言,Linux是非常好的系統。」Coverity位於舊金山,專門製造軟體偵錯工具。
程式分析工具通常利用軟體設計原則去分析一組程式的原始碼,並揪出任何可能的問題。微軟已在內部開發程序廣泛使用這類工具,許多編輯程序也開始包含基礎版的分析程式。這種工具也用在減少網路上層出不窮的程式錯誤。
雖然Coverity沒有微軟Windows作業系統的相對錯誤數據,但這項最新的結果勢必將提升各種Linux、Mac OS X與Windows在安全性方面的戰況。例如最近一份報告指出,Red Hat Linux的嚴重錯誤少於微軟的Windows。另一份由Forrester Research執行、微軟贊助的報告則毫無意外地推薦Windows。
Hallem表示,Coverity無法分析Windows,因為微軟拒絕提供原始碼。蘋果電腦的Max OS X有一大部分專有程式,但其核心作業系統是根據類似Linux的開放原始碼作業系統BSD。
Hallem強調,針對Linux – 特別是其2.6版核心程式 – 的研究,顯示開放原始碼的開發過程,能製造安全的作業系統。他說:「市面上有其他公開報告描述Windows的錯誤密度,我可以說Linux不輸於,或更優於Windows。」微軟代表尚未回應Coverity的研究結果。
這項研究認為Linux核心優於普通的商業程式。卡內基梅隆大學軟體工程研究所的開發理論分析提到,美國電腦安全夥伴之軟體生命週期工作小組今年4月公佈的報告顯示,一般的專有軟體每千行程式有1到7個錯誤。就類似Linux核心2.6版的570萬行程式而言,平均錯誤應在5,700個至4萬個之間。
微軟使用類似Coverity的分析工具檢查Windows程式,其中一項稱為PREfast,用在每一家開發商的工作站檢查簡單的程式錯誤。另一項工具PREfix,每晚檢查Windows的原始碼,抓出更複雜的問題。Hallem承認藉由這些工具,微軟或許已經減少Windows的錯誤數量。
Coverity計劃定期提供Linux的錯誤分析報告,並且為Linux開發者社群準備研究摘要。(陳智文)

Tsung: 對新奇的事物都很有興趣, 喜歡簡單的東西, 過簡單的生活.