Darpa wil Linux veiliger maken
Of dat ook echt zo werkt, is recent ter discussie komen te staan. In een e-mailnieuwsbrief van het Windows &.Net Magazine Network werden intrigerende cijfers van SecurityFocus opgediept. De eerste acht maanden van 2001 heeft die Amerikaanse beveiligingsspecialist in de jongste Linux-varianten van Mandrake, RedHat en Debian beduidend vaker zwakke plekken geconstateerd dan in Windows 2000. Die cijfers zijn niet één op één vergelijkbaar omdat fouten in applicaties bij Linux soms wel en bij Windows niet meetellen. Maar 25 incidenten of meer in acht maanden geeft wel te denken. Darpa is kennelijk ook die mening toegedaan. Deze Amerikaanse overheidsorganisatie heeft samen met softwarebedrijf WireX Communications de Sardonix Audit Portal opgericht om het inspecteren van broncode van open software te stimuleren. Inspectie van code door buitenstaanders is een belangrijk mechanisme om de kwaliteit van software te bewaken en veiligheidslekken op te sporen. In 1998 is daartoe ook al eens het initiatief genomen. Dat Linux Security Audit Project heeft volgens Darpa en WireX Communications nooit aan de verwachtingen voldaan. Een bezoek aan de site lijkt die stelling te ondersteunen. De lijst van geïnspecteerde programma’s is niet te openen. De ‘Frequently Asked Questions’-rubriek lijkt in ieder geval voor het laatst in 1999 geactualiseerd te zijn. Op de Sardonix Audit Portal worden inspecteurs geworven en lijsten aangelegd van programma’s waar wel en geen inspectierapport van beschikbaar is. De eerste lijst is nu overigens nog angstwekkend leeg. Daarnaast biedt de site informatie over open source-tools die bruikbaar zijn voor testen en het schrijven van robuustere code.