Viene dalla Colorado State University un progetto di ricerca che mira a costruire modelli per la predizione del numero di errori in un'applicazione software. Basati, al solito, su sistemi di equazioni differenziali linearizzate e corredate da stimatori, i modelli sono stati anche implementati nel tool ROBUST, sviluppato in C++, per il cui download è necessario richiedere una password via e-mail.

Il team guidato dal Prof. Yashwant Malaiya è in procinto di presentare, all'annuale simposio IEEE sul Secure Computing, che si terrà fra settembre ed ottobre, un paper contenente i risultati della valutazione dei modelli effettuata sulle basi di codice del mirifico duo del Web, ovvero Apache ed IIS. Naturalmente, l'obiettivo non è quello, praticamente irrealizzabile, di arrivare a costruire software privo di difetti, ma quello di individuare le aree critiche del codice su cui concentrare review e testing.

I VDM (Vulnerability Discovery Models) hanno sempre fornito predizioni con un'ampia varianza (del tipo da 300 a 500 vulnerabilità), ed a volte hanno dato margini di errore del 25% ed oltre, come nel caso di Windows 95 (parliamo però di modelli molto meno raffinati e collaudati di quelli attuali). Non stupisce dunque trovare qualche scettico come Gerhard Eschelbeck, Chief Technology Officer di Webroot Software, che paragona la ricerca sui modelli di predizione degli errori a quella sul prossimo terremoto: un interessante campo di ricerca, che potrebbe mancare di ricadute pratiche. Ancora, sottolinea Eschelbeck, quel che interessa non è tanto il numero, quanto la criticità delle vulnerabilità.

Se riuscissimo a classificare il grado di vulnerabilità, allora sì che saremmo interessati, gli fa eco Brian Chess, Chief Scientist della Fortify, produttrice del noto tool Security Tester, uno dei vincitori della rassegna 2006 dei Jolt Awards, disponibile ora anche per Visual Studio 2005 Team System. Un discreto suggerimento per le università italiane, sempre così lontane dal mercato.