Studie bescheinigt Linux guten Code

Bewertet man die Güte des Codes eines Programms anhand dessen Fehlerdichte, so kommt die neueste Studie der Firma Coverity bei dem Linux Kernel 2.6.9 zu dem Schluss, dass Linux besseren Code beinhalte, als vergleichbare, große kommerzielle Software.

Coverty hat ein an der Standford Univerity entwickeltes Tool zur Codeanalyse verwendet, welches bereits seit mehreren Jahren dafür eingesetzt wird, Schwachstellen im Linux-Kernel zu finden. Laut den nun vorliegenden Daten befinden sich im Linux-Kernel 2.6.9 weniger als 1000 Bugs. Genaugenommen hat das Analyse-Programm 985 Programmfehler in 5,7 Millionen Codezeilen entdeckt. Im Kernel Bugtracker der OSDL befinden sich allerdings etwa 1225 offene Bugs. Ein nicht zu unterschätzendes Mehr von 25 Prozent.

Wie so oft hängt auch an dieser Studie der anrüchige Geruch nicht nur die Objektivität der Ergebnisse in den Vordergrund rücken zu wollen. So wird in etwa von dem Carnegie Mellon University's CyLab Sustainable Computing Consortium behauptet, dass in „üblicher kommerzieller“ C- und C++ Software normalerweise bei der Entwicklung 20-30 Fehler pro 1000 Zeilen Code zu finden seien. Bei dem untersuchten Linux-Kernel läge diese Zahl demnach bei 0,173 Fehlern pro 1000 Zeilen. Das passt dann insofern wieder, wenn an höchst politischer Stelle die Wichtigkeit solcher Programme zur Sicherheit angepriesen wird. So soll Amit Yoran, ehemaliger Director of Cybersecurity des U.S. Department of Homeland Security genau dies auf einer Konferenz zu „Heimatschutz und Informationssicherheit“ gesagt haben.

Die Firma Coverity gibt die Details der Ergebnisse an die Linux-Community weiter und Andrew Morton soll sich bereits hierfür bedankt und entdeckte Codefehler priorisiert zur Bearbeitung weitergeleitet haben.

Bleibt abschließend noch zu erwähnen, dass das Analyseprogramm SWAT selbst ein kommerzielles Programm ist, dessen Code aber nicht zur Analyse von Dritten herangezogen werden darf.