Badanie pokazuje poprawę jakości kodu Open Source

Ogólna liczba błędów w projektach open source spada, nowe badanie dostawcy Coverity odkryło.

Coverity, producent narzędzi do analizy kodu programowania, otrzymał w 2006 roku kontrakt od Departamentu Bezpieczeństwa Krajowego USA Pomóż podnieść jakość oprogramowania open source, które jest coraz częściej wykorzystywane przez agencje rządowe.

Sprzedawca przygotował stronę internetową, za pośrednictwem której projekty open-source i programiści mogą przesyłać kod do analizy. Sprzedawca przypisuje projekty do serii "szczebli" w zależności od liczby usterek.

"Zagęszczenie defektów" spadło o 16 procent w ciągu ostatnich trzech lat wśród projektów skanowanych w witrynie, a niektóre z 11 200 defektów zostały wyeliminowane, zgodnie z najnowszym raportem Coverity.

Cztery projekty otrzymały status najwyższego poziomu "Rung 3", po rozwiązaniu defektów odkrytych podczas szczebli 1 i 2, Coverity powiedział. Są to Samba, tor, OpenPAM i Ruby.

Strona Scan przeanalizowała do tej pory ponad 60 milionów unikatowych linii kodu z 280 projektów, zgodnie z Coverity. W ponad 180 projektach programiści aktywnie pracują nad skanowaniem projektów open source.

Usługa skanowania Coverity wykorzystuje analizę statyczną, która służy do sprawdzania kodu pod względem bezpieczeństwa lub problemów z wydajnością bez konieczności uruchamiania samej aplikacji. Jest to preferowane, ponieważ "testowanie każdej ścieżki w złożonym programie podczas jego działania wymaga skonstruowania dużej liczby specjalnych przypadków testowych lub strukturyzowania kodu w specjalny sposób", powiedział Coverity.

"Analiza statyczna [narzędzia] nie powie Ci że twój proces biznesowy działa poprawnie … ale powie ci, że sam kod jest sprawny technicznie i jest zgodny z najlepszymi praktykami programistycznymi, których można się spodziewać po kodzie, który przeszedł prawidłową weryfikację kodu "- powiedział Forrester Research analityk Jeffrey Hammond za pośrednictwem poczty elektronicznej.

Narzędzia te są najbardziej pomocne w odnajdywaniu "strukturalnych" anty-wzorców w kodzie, słabych praktyk programistycznych, które mogą powodować problemy z wydajnością i bezpieczeństwem, takie jak wycieki pamięci i przepełnienia bufora, a także bardziej egzotyczne warunki, takie jak błędy spowodowane równoległym wykonywaniem kodu w wielordzeniowym środowisku procesora, "dodał.