Coverity, società già nota per i suoi tool di analisi automatica dei sorgenti, ha annunciato di aver avviato un programma di certificazione per progetti opensource. La certificazione garantisce che tali progetti siano esenti da problemi di sicurezza.
I primi undici software a ricevere la medaglia sono stati Amanda, NTP, OpenPAM, OpenVPM, Overdose, Perl, PHP, Postfix, Python, Samba e TCL.
Nell´ambito di questa iniziativa, Coverity ha stretto una collaborazione con l´università di Stanford e ha già siglato con il Department of Homeland Security un contratto di cui non stati resi noti i termini. Il programma ha come obiettivo di rassicurare le aziende riguardo la bontà dei software opensource, indirizzandole verso quello che, secondo il giudizio di Coverity, è più affidabile.
La certificazione può raggiungere tre livelli, numerati dallo 0 al 2: il livello 2 rappresenta quello più sicuro, e contiene per ora gli undici software elencati sopra.
A questo punto due considerazioni vengono quasi naturali: una buona e una cattiva. Quella buona è sulla natura dell´opensource: senza accesso ai codici sorgenti non è possibile fare un´analisi approfondita. In altre parole non ci si può fidare di un piatto di cui non si conoscono gli ingredienti.
La considerazione cattiva, invece, riguarda la natura della sicurezza: può bastare una voce, per quanto autorevole, ad assicurare che un programma è scritto bene ed è completamente privo di bachi?