爱华网CNET科技资讯网12月14日国际报道 据一份即将发表的报告称,Linux 操作系统中的漏洞数比一般的商业软件少好几倍。
这个结论是代码分析公司Coverity进行的一项为期四年的研究项目的成果,该公司计划在星期二发布研究报告。
这项研究在最新版本的Linux 核心操作系统(kernel)的570 万行代码中,发现了985 处bug。而据卡内基梅隆大学的数据,与之大小相当的商业软件漏洞或缺陷数目一般都超过5 ,000 个。
Coverity公司的CEO Seth Hallem 说:" 按照bug 密度来说,Linux 是一个很好的系统。" 该公司位于旧金山,它针对C 和C++ 语言编写的软件,开发漏洞检测工具。
代码分析工具的原理是按照软件设计原则来分析一个程序的源代码,并标出任何可能的问题。微软公司在内部开发过程中早已在广泛地使用这类工具,而且许多编译器也开始包含这种程序的雏形。这类工具还可以用于处理网页上常见的乱码。
尽管Coverity没有数据表明微软的Windows 操作系统中的漏洞的密度,但是它的这项研究又将为Linux 、Mac OS X和Windows 三种系统谁更安全的辩论添上一把火。
比如,最近的一份报告发现红帽Linux 比微软的Windows 系统中的危险漏洞更少。另一项由微软资助、Forrester Research进行的研究报告则指出,Windows 占优。
Hallem说,Coverity没有分析Windows 系统的代码是因为该公司无法获得源代码。苹果公司的Mac OS X操作系统有许多专有程序,但是该操作系统的核心是基于BSD 的,这是一种类似Linux 的开源操作系统。
Hallem强调这项基于Linux 的研究(具体地说,是对2.6 版的kernel)表明,开放源代码的开发方式可以开发出安全的操作系统。
他说:" 有其他的公开报告指出了Windows 系统的bug 密度,我认为Linux 相对来说要优于Windows。" 微软公司的发言人没有立即对Coverity 的研究做出评论。
该研究还称,Linux 核心程序优于一般的商业程序。据美国国家电脑安全机构的工作小组4 月份发表的一份关于软件生命周期的报告指出,专有软件通常每千行代码有1 到7 个漏洞。
按此计算,一个有570 万行代码的程序,比如2.6 版的Linux 核心,相当于有5700 到40000 个漏洞。
微软使用类似Coverity的工具来分析它的Windows 代码。一个著名的工具叫做PREfast ,每个开发者的工作站上都有,它可以检测代码,发现一些简单的问题。还有一种工具叫做PREfix,每天晚上运行,对Windows 源代码检测,可以发现更复杂的问题。
Coverity公司的Hallem承认,微软通过运行跟他们类似的分析工具,可能已经减少了Windows 中的缺陷。
Coverity计划定期发布Linux 的bug 分析报告,并向Linux 开发者团体提供报告的摘要信息。
