LAMP让开放源代码软件更安全 PHP是例外

根据美国政府赞助的一项计划，最受欢迎的开放源代码软件，往往也是程序错误最少的软件。

程序分析工具制造商Coverity 6日宣布，“LAMP”开放源代码软件堆叠的程序错误密度 – 每千行程序的错误数量 – 低于其分析的32项开放源代码计划基线。

美国联邦国土安全部拨款124万美元，赞助斯坦福大学、Coverity和赛门铁克公司，抓出开放源代码软件的程序错误，并且改进Coverity的商用源代码分析工具。这项始于今年元月的赞助，属于为期三年的“开放源代码强化计划”（Open Source Hardening Project）。

LAMP堆叠包括Linux操作系统、Apache网络服务器、MySQL数据库和一种指令语言– PHP、Perl或Python。目前正朝向主流商业运算发展，企图挑战Java和微软的.Net。

Coverity表示，其分析行动扫瞄了32项开放源代码计划共约1,750万行程序，平均每千行程序出现0.434个错误。但LAMP堆叠“展现明显较佳的软件品质”，平均每千行程序只有0.29个错误。

但Coverity指出一项警讯：相当受欢迎的指令语言PHP，是LAMP堆叠中唯一错误密度超过基线的元件。在32项作为基线的开放源代码计划中，Amanda备份工具的错误密度最高，每千行达1.237。密度最低的是XMMS声音播放器，每千行约侦测到0.051个错误。

单就数字而言，错误最多的是Linux与Unix适用的低端显卡界面软件X，Coverity在当中抓出1,681个程序错误。XMMS在数量上的表现同样居首，仅侦测到6个程序错误。

Coverity的分析工具针对软件程序中40种最紧要的安全弱点和编码错误。该公司并未详细说明其发现的瑕疵范围，其分析结果也不能用来评断开放源代码程序与专有程序的安全差异，因为专有软件不供外界扫瞄抓错。

史丹福大学与Coverity也利用政府赞助的资金，架构一套每日扫瞄开放源代码计划获赠程序的系统。Coverity表示，分析结果的数据库开放给所有软件开发员，以便进行必要的修补。