Det amerikanske Department of Homeland Security (DHS) er klar til at bruge et millionbeløb på at forbedre sikkerheden i open source-programmer. Efterhånden som open source i stigende omfang anvendes i kritiske miljøer er der brug for sikkerhed på niveau med kommercielle produkter, mener eksperter.
DHS betaler 1,24 millioner dollar til projektet over en periode på tre år. Stanford University støttes med 841.276 dollar, teknologifirmaet Coverity modtager 297.000 dollar og Symantec får 100.000 dollar.
Pengene skal bruges til at udvikle et automatisk system, som skal scanne al den kode den bidrages til populære open source-projekter og opbygge en offentlig tilgængelig database over fejl og sårbarheder. Systemet skal blandt andet scanne koden til Linux, Apache, Firefox og BIND.
Coverity sælger allerede værktøjer til automatisk analyse af programkode, og firmaets teknologi skal udgøre fundamentet i det nye system. Symantec skal bidrage med sin viden om it-sikkerhed og teste Coveritys teknologi.
Men ikke alle har modtaget det nye projekt med begejstring. Ben Laurie fra Apache Foundation mener at værktøjerne til kodeanalyse i stedet burde stilles til rådighed for open source-udviklerne, så de selv kan teste koden. Han kritiserer desuden, at der kun er afsat penge til at finde, men ikke til at rette sikkerhedshullerne.
Stanford-professor Dawson Engler forsvarer dog projektet og henviser til, at sikkerheden kun kan blive bedre.
»Pengene bliver brugt til at give dem det, de har brug for til at rette fejlene, og det er informationer om fejl. Det er meget bedre end det, de har nu, som er ingenting,« siger professoren.
