Tegnap napvilágra került egy cikk az InformationWeek oldalán Charles Babcock tollából, amely a nyílt forráskódú projektek sebezhetőségét taglalja a Coverity listája alapján. Nevezett cég a Stanford Egyetemmel karöltve azzal foglalkozik, hogy hibákat keres a forráskódokban. Az amerikai belbiztonsági hivatallal, a Department of Homeland Securityvel kötött szerződés alapján most a nyílt forrású, C-ben, C++-ban, JAVA-ban írott rendszereket vették górcső alá, különös tekintettel az olyan népszerű és széles körben elterjedt projektekre, mint a Samba, a PHP, a Perl, a TCL, az Apache, a PostgreSQL etc. A ZDNet cikke szerint az Amanda, az NTP, az OpenPAM, az OpenVPN, az Overdose, a Perl, a PHP, a Postfix, a Python, a Samba és a TCL átment a teszten – „felmászott a létrán”.

Az open source közösségét ismerve nem kell őket nagyon noszogatni, hogy a többi projekt komolyabb (ha van: csak hibáról szól a dal, nagyságrendről nem) résein elkezdjenek dolgozni. Részemről nem is igazán ez a nagy hír, az lenne a nagy hír, ha valaki írna egy olyan kódot, amiben nincs hiba. Körülbelül az lenne a számítástechnika fejlődésének a vége; hibák voltak, vannak, lesznek, tulajdonképpen még jó is, hogy vannak, csak a „késztermékbe” ne kerüljenek bele. Ami miatt elkezdem írni, az jóval inkább a kezdőmondatban említett kitűnő férfiú cikke, melyről eddig hallgattunk.

Népszerű nyílt forráskódú projektek, mint (figyeljünk!) a Samba, a PHP, a Perl, a TCL és az Amanda biztonsági rések tucatjait, sőt, százait tartalmazza! – harsogja a nagyszerű férfiú. Erre mondjuk első körben eleve csak a bágyadt „So what?” buggyanna ki belőlünk, ám ő nem áll meg itt, folytatja. A folytatás annyiból áll, hogy melyik projektben hány hibát találtak, hányat javítottak, hány hiba van hátra.

Foglaljuk össze a cikk mondandóját: a nyílt forrású rendszerekben hibák vannak. Na, ezt hívhatjuk bátran úgy, hogy nem hír. Minden rendszerben van hiba (itt nyílván nem egy hatsoros scriptet értünk rendszer alatt), mint említettük volt; az nem mindegy, milyen jellegű a hiba és milyen gyorsan javítják. A cikk akkor lenne érdekes, ha kiderülne más is, ha lenne összehasonlítás a Microsoft, az Apple stb. szoftvereinek sebezhetőségeivel. De nincs. Mondjuk azt, hogy a hír nem is erről szól. De akkor miről? Mert anélkül csak lóg a levegőben: a Coverity listája nyilvános, a cikk helyett elég lett volna egy link is, emberünket bizonyára leütésre fizetik.

Ráadásul visszafelé lőtt szegény, mivel a cikk hírértéke így pusztán annyi – mint erre egy kommentelő rámutat –, hogy a nyílt forráskód bárki által ellenőrizhető, a hibák feltárhatók, s pontosan ezáltal lesznek az open source projektek könnyebben fejleszthetők és biztonságosabbak.