Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 25/11/2011
Et softwareværktøj undersøger, om Linux-programmer indeholder kode med kendte sårbarheder.Værktøjet PackageCloneDetection forsøger at løse et problem ved deling af kode: Når man udvikler et stykke open source-software, kan man kopiere kodelinjer fra andre open source-programmer.
Men hvis der senere opdages fejl og sårbarheder i den kode, man har kopieret, skal det rettes. Det kræver viden om, hvilken kode der indgår i de programmer, man kører.
Forsker Silvio Cesare har udviklet PackageCloneDetection for at kunne finde frem til kildekode, der stammer fra sårbare systemer. Som eksempel nævner han Zlib, der er et sæt rutiner til komprimering af filer. Der er fundet sårbarheder i Zlib. Med værktøjet har han fundet fem Linux-programmer til Fedora og Debian, der indeholdt den sårbare kode.
Han fremhæver i et blogindlæg, at der er så mange tilfælde af kopieret kode, at det er nødvendigt at automatisere søgningen efter sårbar kode.
Anbefaling
Administratorer af Linux-systemer kan afprøve PackageCloneDetection eller deltage i udviklingen af værktøjet.