谷歌Android手机惊现高危软件缺陷

p { margin-bottom: 0.21cm; }strong { font-style: italic; font-weight: normal; }

11 月 2 日，美国《金融时代》公布了“ Coverity Analysis” 集团的一项最新的研究报告，指出谷歌的 Android 智能手机 (HTC 品牌 ) 内核存在 “高危” 编程缺陷（ Defects) ，引起业界一片惊慌。实际情况是怎样的呢？

实际上， Coverity 分析集团利用自己的“代码扫描分析器”对一些最常用的开源软件包（共计 291 个）的源代码文件（共计 6,200 万行源代码）进行了自动扫描分析，其中被扫描的有： Linux 内核、 Apache 、 Samba 和 PHP 编程语言等，并且定于今天公布研究结果，谷歌手机的内核编程缺陷的发现只是这项大规模检测工程研究的一个小部分。

Coverity 分析发现，谷歌 Android （ 2.6.32 版本）内核源代码文件的编程”缺陷密度”为 0.47 。什么是“缺陷密度“？如果一千行源代码平均有一个编程缺陷，就称其平均”缺陷密度“为 1.0 。实际上， Coverity 发现 Android 内核存在 359 个编程缺陷，其中 25% 的编程缺陷（ 88 个）属于“ high-risk”(“ 高危” ) 缺陷。由此，我们也可推算出 Android 内核大约有 76 万行源代码（不包括程序的注释行）。

据 Coverity 首席科学家及公司共同创始人 Andy Chou 对媒体说：“ a defect density of one defect per approximately one thousand lines of code is industry average ” ，意思是说，一般而言，缺陷密度的“产业平均值”大约接近于 1.0 。由此说明， Android 内核的“缺陷密度”低于平均水平。

根据有关报道 ，谷歌和 HTC 正在评估这份研究报告。大家知道，谷歌的 Android 手机，如果存在“高危缺陷”（主要是内存泄漏方面的问题），一旦被黑客发现，用户个人的敏感信息（或隐私）极易丢失 （或被窃） 。由于谷歌手机在美国国内市场占有 44% 的份额（据 Canalys 最新调查结果， 11 月 2 日） ，高危缺陷的发现 ，对谷歌手机用户的 影响很大 ，对谷歌而言， 这确实 是一件很要命 （很挠头） 的事情。毫无疑问 ，面 对如此发现 ， 谷歌手机的企业用户会更加担心了。

私有软件代码的 “缺陷密度”是否更低一些呢？未必。私有软件的内部有什么“猫腻”，一般局外人是不得而知的。 11 月 2 日，美国《 PC 世界》发表文章，题为 “ 88 high-risk defects found in Android kernel” ，该文指出，私有软件的“缺陷密度”未必更小，比如， Secunia 调查公司最近断言：“ Apple's products actually have more security flaws than any others” 。 苹果的 iOS 操作系统的源代码是完全封闭的，不可能享受到这种客观检查和分析的“体检待遇” 。 姑娘再漂亮，不让外人看，小伙子也不会喜欢。

说明：今天 ， Coverity 集团 即将对外公布 对 Linux 内核、 Apache 、 Samba 和 PHP 编程语言等软件包的“自动扫描”结果，使其“内部”真相大白于天下。这些软件包里面有没有后门、木马，到时将 “ 一目了然 ” 。现在，我国的政府部门正在搞“软件正版化”，我们要想清楚的是 ， 所谓的“正版软件“里面是不是很干净，或者 ，将来是否会保持很干净，会不会有后门 和木马 以及 QQ 之类混进来。近日 ， 俄罗斯政府下决心投奔 Linux 是很有远见的举措。微软的公关人员一定会说： Win 7 和 Office 2010 内部绝对没有后门、木马。 此话 说得很好。那么 ， 谁主张，谁举证，请拿出第三方的证据来。人们不会忘记 XP 的“ Home phone” 事件（ XP 定时自动地向微软总部数据库“打电话”事件）。

更多相关文章

随机推荐