LINUX.ORG.RU

Отчёт о проверке безопасности открытого и проприетарного кода за 2011-ый год.

 , ,


0

3

Компания Coverity, лидер автоматизированного тестирования кода на предмет наличия ошибок и уязвимостей, предоставила отчёт, являющийся продуктом крупнейшего совместного частно-государственного проекта по аудиту исходных кодов открытого и проприетарного программного обеспечения. Отчёт содержит результаты анализа более 37 миллионов строк кода 45-ти наиболее активно развивающихся проектов с открытым исходным кодом, а также около 300 миллионов строк кода 41-го неназванного проприетарного ПО.

Ключевые моменты отчёта:

  • Средний размер открытого ПО составляет 832000 строк кода, при этом на 1000 строк кода было выявлено в среднем 0,45 дефектов.
  • Средний размер проприетарной программы составляет 7,5 млн строк кода, на 1000 строк кода приходится в среднем 0,64 дефекта.
  • В общем и целом для индустрии ПО этот показатель составляет 1,0 дефектов на 1000 строк кода.
  • Linux 2.6, PHP 5.3 и PostgreSQL 9.1 признаны открытым ПО с высоким качеством кода, их показатели средней дефективности кода составляют 0,62, 0,20 и 0,21 соответственно. Всего в Linux 2.6 была выявлена 4261 ошибка, из которых 1249 признаны очень опасными или критическими. В РНР 5.3 и PostgreSQL 9.1 эти показатели составляют 97/15 и 233/116 соответственно.
  • При сходных размерах качество проприетарного и открытого ПО находится примерно на одном уровне, так Linux 2.6, насчитывающий почти 7 млн строк кода (средний размер проприетарной программы составляет 7,5 млн строк кода), имеет показатель качества 0,62, что схоже со средним показателем качества проприетарного ПО - 0,64.

Было замечено, что открытые проекты очень активно реагируют на выявленные системой Coverity дефекты. Так, команда разработчиков BRL-CAD устранила более 1600 дефектов в течение 5 дней после того как авторы исследования уведомили разработчиков.

>>> Подробности



Проверено: Shaman007 ()
Ответ на: комментарий от shutty

Судя по тому, что «2.6», они брали «2.6.1»

anonymous
()

php глобально и надежно!

Binary ★★★★★
()

Спасибо, скачал пдфку почитать.

Hoodoo ★★★★★
()

эта новость - сокращенный копипаст с опеннета, где эта новость была уже больше суток назад..

kostett ★★★
()
Ответ на: комментарий от fragment

похоже переводите, добрый скилл.
И всё же даже пара предложений создает впечатление о копипасте вообще всего, особенно если текст был прочитан еще вчера.

kostett ★★★
()
Ответ на: комментарий от kostett

особенно если текст был прочитан еще вчера.

Молодец, а я вчера не читал.

Linux 2.6

А какое конкретно ядро не указали?

cipher ★★★★★
()
Ответ на: комментарий от shutty

Почему еще никто не написал про решето?

потому-что ошибка != уязвимость

anonymous
()

Если у открытого ПО 0.45 дефектов на 1к строк, а у проприетарного 0.64 дефекта, то каким образом средний на все ПО - 1.0 дефект? Существует еще какой-то вид ПО с такими дикими багами, которые перевешивают средний показатель?

vurdalak ★★★★★
()

При сходных размерах качество проприетарного и открытого ПО находится примерно на одном уровне, так Linux 2.6, насчитывающий почти 7 млн строк кода (средний размер проприетарной программы составляет 7,5 млн строк кода), имеет показатель качества 0,62, что схоже со средним показателем качества проприетарного ПО - 0,64.

Я правильно понял, что ядро операционной системы (для открытого ПО) сравнивается со средней температурой по больнице (для проприетарного)?

Ядро же, мягко, говоря, нетипичный проект.

hobbit ★★★★★
()
Ответ на: комментарий от daemonpnz

А теперь вспомни сколько там строк кода и выдохни.

Вот и я о том.

hobbit ★★★★★
()

открытого ПО ... 0,45 дефектов

проприетарной программы ... 0,64 дефекта

В общем и целом для индустрии ПО ... 1,0 дефектов

Я вижу странную математику!

Axel
()

Средний размер проприетарной программы составляет 7,5 млн строк кода

У меня вопрос, как они умудрились посчитать количество строк в коде, если он закрыт?

Jurik_Phys ★★★★★
()
Ответ на: комментарий от vurdalak

Исследовали несколько конкретных проектов из опенсорса и несколько из проприетари. средний показатель на конкретные 45 проектов опенсорса - 0.45, средний показатель на 41 конкретный (хоть и не названный в отчете) проект проприетари - 0.64.

При этом по всей массе проскнированных subj проектов показатель 1.0

Итого проанализированные в отчете и открытые и закрытые проекты имеют качество выше среднего по больнице )))

Вопросы? ;)

VoDA ★★
()
Ответ на: комментарий от VoDA

А как они получили для всего ПО 1.0, если они его не исследовали? А если исследовали, почему не включили в те 45?

vurdalak ★★★★★
()
Ответ на: комментарий от Jurik_Phys

Subj просканировал код проекта - данные он собрал. Проект является закрытым и разрешения на открытия кода проекта subj не получил (и не пытался ;) ). Даже название проекта оглашать запрещено.

Потому про размер и баги - subj знает, а вот раскрыть что за проект не имеет права )))

VoDA ★★
()
Ответ на: комментарий от vurdalak

А как они получили для всего ПО 1.0, если они его не исследовали?
А если исследовали, почему не включили в те 45?

Исследовали. Включать в аналитику не стали ибо большинству не интересно читать про либы lib*** и lib***, которые известны только 1,5 землекопам.

VoDA ★★
()

Интересно кто дал им в руки свой проприетарный код для изучения. Какие проприетарные проекты участвовали то?

alt0v14 ★★★
()

> Всего в Linux 2.6 была выявлена 4261 ошибка, из которых 1249 признаны очень опасными или критическими.

Как предлагаете к этому относиться? Я пользователь Linux только потому, что считаю эту систему лучше Windows.

ZenitharChampion ★★★★★
()
Ответ на: комментарий от ZenitharChampion

Как предлагаете к этому относиться? Я пользователь Linux только потому, что считаю эту систему лучше Windows.

Никто не держит же ^_~

Алсо, а сколько критических ошибок в ядре вынь-да-положь? Какая часть этих ошибок содержится в модулях, которые вы не используете?

IceAlchemist
()

Не удивительно. В пропритераном мире продукт собирают под одну платформу одним компилятором, поэтому дефектов кода не замечают. Работают и хер бы с ним. Но проблема в том, что эта тулза врядли проверяет логические ошибки, которых over 9000 в открытом ПО.

Reset ★★★★★
()
Ответ на: комментарий от ZenitharChampion

Для начала было бы неплохо узнать, какие ошибки, в каких местах, и кто их признал критическими. А то мало ли...

sluggard ★★★★★
()

Намекают (в частности), что ведро слишком жирное и недостаточно модульное?

anonymous
()
Ответ на: комментарий от Reset

Но проблема в том, что эта тулза врядли проверяет логические ошибки, которых over 9000 в открытом ПО.

Она так же не выявляет те же самые логические ошибки в проприетарном ПО, а значит их там раза в 1,5 больше чем в открытом ПО.

daemonpnz ★★★★★
()
Ответ на: комментарий от Reset

А теперь перечитай что я написал, а то от твоего жира у тебя же самого глаза заплыли и ты не видишь ни черта.

daemonpnz ★★★★★
()
Ответ на: комментарий от daemonpnz

Не заметил «не». Но я не вижу логики в твоем утверждении. Мой опыт говорит мне, что проприетарное ПО в 99.99% случаев работает как ожидаешь и как написано в документации, а значит логических ошибок там на порядки меньше.

Reset ★★★★★
()

Странный набор пациентов: Linux 2.6, PHP, PostgreSQL и BRL-CAD. Чё они там ваяют? Померили чего-то там, сложили открытое с проприетарным и, как говорили в школе, «каков вывод из твоего сочинения?».

void_ptr ★★★★
()

PostgreSQL

А чего все так старательно обходят упоминание PostgreSQL в коментах? Про Linux kernel упомянули, PHP восхитились, а PostgresSQL игнорируют. Вот какую базу нужно использовать для надёжного хранения и обработки данных!

Ptomaine
()
Ответ на: комментарий от Reset

Винда постоянно работает как ожидаешь, т.е падает от каждого чиха. А «логичный» риббон ну просто адски логичен. :D

daemonpnz ★★★★★
()
Ответ на: комментарий от daemonpnz

Винда постоянно работает как ожидаешь, т.е падает от каждого чиха.

ты с плазмой не попутал?

А «логичный» риббон ну просто адски логичен.

А что с ним не так?

Reset ★★★★★
()
Ответ на: комментарий от void_ptr

А то, если бы они взяли 100500 плееров, то результаты были бы совершенно другими. Им видимо хотелось доказать «превосходство» opensource, вот и взяли качественные проекты.

Reset ★★★★★
()
Ответ на: комментарий от Reset

Как можно перепутать плазму с виндой?! Я ж не так как ты, я внимательно читаю и пишу.

daemonpnz ★★★★★
()
Ответ на: комментарий от Reset

А проприетарщикам настолько стыдно, что они даже не разрешают опубликовать названия продуктов, которые исследовали.

daemonpnz ★★★★★
()

Познавательно, спасибо.

Deleted
()
Ответ на: комментарий от Axel

то есть приведенные данные по типам ПО надо понимать как выборочные?

Отчёт содержит результаты анализа более 37 миллионов строк кода 45-ти наиболее активно развивающихся проектов с открытым исходным кодом, а также около 300 миллионов строк кода 41-го неназванного проприетарного ПО.

baverman ★★★
()
Ответ на: комментарий от baverman

Ну и?

В общем и целом для индустрии ПО этот показатель составляет 1,0 дефектов на 1000 строк кода.

То есть, анализировали и остальную индустрию?

Axel
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.