LINUX.ORG.RU

Отчёт о проверке безопасности открытого и проприетарного кода за 2011-ый год.

 , ,


0

3

Компания Coverity, лидер автоматизированного тестирования кода на предмет наличия ошибок и уязвимостей, предоставила отчёт, являющийся продуктом крупнейшего совместного частно-государственного проекта по аудиту исходных кодов открытого и проприетарного программного обеспечения. Отчёт содержит результаты анализа более 37 миллионов строк кода 45-ти наиболее активно развивающихся проектов с открытым исходным кодом, а также около 300 миллионов строк кода 41-го неназванного проприетарного ПО.

Ключевые моменты отчёта:

  • Средний размер открытого ПО составляет 832000 строк кода, при этом на 1000 строк кода было выявлено в среднем 0,45 дефектов.
  • Средний размер проприетарной программы составляет 7,5 млн строк кода, на 1000 строк кода приходится в среднем 0,64 дефекта.
  • В общем и целом для индустрии ПО этот показатель составляет 1,0 дефектов на 1000 строк кода.
  • Linux 2.6, PHP 5.3 и PostgreSQL 9.1 признаны открытым ПО с высоким качеством кода, их показатели средней дефективности кода составляют 0,62, 0,20 и 0,21 соответственно. Всего в Linux 2.6 была выявлена 4261 ошибка, из которых 1249 признаны очень опасными или критическими. В РНР 5.3 и PostgreSQL 9.1 эти показатели составляют 97/15 и 233/116 соответственно.
  • При сходных размерах качество проприетарного и открытого ПО находится примерно на одном уровне, так Linux 2.6, насчитывающий почти 7 млн строк кода (средний размер проприетарной программы составляет 7,5 млн строк кода), имеет показатель качества 0,62, что схоже со средним показателем качества проприетарного ПО - 0,64.

Было замечено, что открытые проекты очень активно реагируют на выявленные системой Coverity дефекты. Так, команда разработчиков BRL-CAD устранила более 1600 дефектов в течение 5 дней после того как авторы исследования уведомили разработчиков.

>>> Подробности

В Linux 2.6 - 4261 ошибка? Почему еще никто не написал про решето?

shutty ()
Ответ на: комментарий от shutty

Судя по тому, что «2.6», они брали «2.6.1»

anonymous ()
Ответ на: комментарий от shutty

А теперь вспомни сколько там строк кода и выдохни.

daemonpnz ★★★★★ ()

php глобально и надежно!

Binary ★★★★★ ()

Хорошо было бы если пофиксили ядро.

Gordon01 ★★ ()

Спасибо, скачал пдфку почитать.

Hoodoo ★★★★★ ()

эта новость - сокращенный копипаст с опеннета, где эта новость была уже больше суток назад..

kostett ★★★ ()
Ответ на: комментарий от kostett

Эта новость перевод с источника по ссылке с 2-мя добавленными предложениями с опеннета.

fragment ()
Ответ на: комментарий от fragment

похоже переводите, добрый скилл.
И всё же даже пара предложений создает впечатление о копипасте вообще всего, особенно если текст был прочитан еще вчера.

kostett ★★★ ()
Ответ на: комментарий от kostett

особенно если текст был прочитан еще вчера.

Молодец, а я вчера не читал.

Linux 2.6

А какое конкретно ядро не указали?

cipher ★★★★★ ()
Ответ на: комментарий от shutty

Почему еще никто не написал про решето?

потому-что ошибка != уязвимость

anonymous ()

Если у открытого ПО 0.45 дефектов на 1к строк, а у проприетарного 0.64 дефекта, то каким образом средний на все ПО - 1.0 дефект? Существует еще какой-то вид ПО с такими дикими багами, которые перевешивают средний показатель?

vurdalak ★★★★★ ()

Всего в Linux 2.6 была выявлена 4261 ошибка

12309 нашли?

segfault ★★★★ ()

При сходных размерах качество проприетарного и открытого ПО находится примерно на одном уровне, так Linux 2.6, насчитывающий почти 7 млн строк кода (средний размер проприетарной программы составляет 7,5 млн строк кода), имеет показатель качества 0,62, что схоже со средним показателем качества проприетарного ПО - 0,64.

Я правильно понял, что ядро операционной системы (для открытого ПО) сравнивается со средней температурой по больнице (для проприетарного)?

Ядро же, мягко, говоря, нетипичный проект.

hobbit ★★★★★ ()
Ответ на: комментарий от daemonpnz

А теперь вспомни сколько там строк кода и выдохни.

Вот и я о том.

hobbit ★★★★★ ()

открытого ПО ... 0,45 дефектов

проприетарной программы ... 0,64 дефекта

В общем и целом для индустрии ПО ... 1,0 дефектов

Я вижу странную математику!

Axel ()
Ответ на: комментарий от Axel

> Я вижу странную математику!

Это просто мушки, на фоне осложнения, вызванного неумением читать.

baverman ★★★ ()

Как они нашли эти ошибки?

zenden ()

Средний размер проприетарной программы составляет 7,5 млн строк кода

У меня вопрос, как они умудрились посчитать количество строк в коде, если он закрыт?

Jurik_Phys ★★★★ ()
Ответ на: комментарий от vurdalak

Исследовали несколько конкретных проектов из опенсорса и несколько из проприетари. средний показатель на конкретные 45 проектов опенсорса - 0.45, средний показатель на 41 конкретный (хоть и не названный в отчете) проект проприетари - 0.64.

При этом по всей массе проскнированных subj проектов показатель 1.0

Итого проанализированные в отчете и открытые и закрытые проекты имеют качество выше среднего по больнице )))

Вопросы? ;)

VoDA ★★ ()
Ответ на: комментарий от VoDA

А как они получили для всего ПО 1.0, если они его не исследовали? А если исследовали, почему не включили в те 45?

vurdalak ★★★★★ ()
Ответ на: комментарий от Jurik_Phys

Subj просканировал код проекта - данные он собрал. Проект является закрытым и разрешения на открытия кода проекта subj не получил (и не пытался ;) ). Даже название проекта оглашать запрещено.

Потому про размер и баги - subj знает, а вот раскрыть что за проект не имеет права )))

VoDA ★★ ()
Ответ на: комментарий от vurdalak

А как они получили для всего ПО 1.0, если они его не исследовали?
А если исследовали, почему не включили в те 45?

Исследовали. Включать в аналитику не стали ибо большинству не интересно читать про либы lib*** и lib***, которые известны только 1,5 землекопам.

VoDA ★★ ()
Ответ на: комментарий от baverman

Ну, то есть приведенные данные по типам ПО надо понимать как выборочные? Из текста не понял.

Axel ()

Интересно кто дал им в руки свой проприетарный код для изучения. Какие проприетарные проекты участвовали то?

alt0v14 ★★★ ()

> Всего в Linux 2.6 была выявлена 4261 ошибка, из которых 1249 признаны очень опасными или критическими.

Как предлагаете к этому относиться? Я пользователь Linux только потому, что считаю эту систему лучше Windows.

ZenitharChampion ★★★★★ ()
Ответ на: комментарий от ZenitharChampion

>Как предлагаете к этому относиться? Я пользователь Linux только потому, что считаю эту систему лучше Windows.

Никто не держит же ^_~

Алсо, а сколько критических ошибок в ядре вынь-да-положь? Какая часть этих ошибок содержится в модулях, которые вы не используете?

IceAlchemist ()

Не удивительно. В пропритераном мире продукт собирают под одну платформу одним компилятором, поэтому дефектов кода не замечают. Работают и хер бы с ним. Но проблема в том, что эта тулза врядли проверяет логические ошибки, которых over 9000 в открытом ПО.

Reset ★★★★★ ()
Ответ на: комментарий от ZenitharChampion

Для начала было бы неплохо узнать, какие ошибки, в каких местах, и кто их признал критическими. А то мало ли...

sluggard ★★★★ ()

Намекают (в частности), что ведро слишком жирное и недостаточно модульное?

anonymous ()
Ответ на: комментарий от Reset

Но проблема в том, что эта тулза врядли проверяет логические ошибки, которых over 9000 в открытом ПО.

Она так же не выявляет те же самые логические ошибки в проприетарном ПО, а значит их там раза в 1,5 больше чем в открытом ПО.

daemonpnz ★★★★★ ()
Ответ на: комментарий от daemonpnz

Каким образом она это делает? Чтобы это выявить надо знать что должна делать программа.

Reset ★★★★★ ()
Ответ на: комментарий от Reset

А теперь перечитай что я написал, а то от твоего жира у тебя же самого глаза заплыли и ты не видишь ни черта.

daemonpnz ★★★★★ ()
Ответ на: комментарий от daemonpnz

Не заметил «не». Но я не вижу логики в твоем утверждении. Мой опыт говорит мне, что проприетарное ПО в 99.99% случаев работает как ожидаешь и как написано в документации, а значит логических ошибок там на порядки меньше.

Reset ★★★★★ ()

Странный набор пациентов: Linux 2.6, PHP, PostgreSQL и BRL-CAD. Чё они там ваяют? Померили чего-то там, сложили открытое с проприетарным и, как говорили в школе, «каков вывод из твоего сочинения?».

void_ptr ★★★★ ()

PostgreSQL

А чего все так старательно обходят упоминание PostgreSQL в коментах? Про Linux kernel упомянули, PHP восхитились, а PostgresSQL игнорируют. Вот какую базу нужно использовать для надёжного хранения и обработки данных!

Ptomaine ()
Ответ на: комментарий от Reset

Винда постоянно работает как ожидаешь, т.е падает от каждого чиха. А «логичный» риббон ну просто адски логичен. :D

daemonpnz ★★★★★ ()
Ответ на: комментарий от daemonpnz

> Винда постоянно работает как ожидаешь, т.е падает от каждого чиха.

ты с плазмой не попутал?

> А «логичный» риббон ну просто адски логичен.

А что с ним не так?

Reset ★★★★★ ()
Ответ на: комментарий от void_ptr

А то, если бы они взяли 100500 плееров, то результаты были бы совершенно другими. Им видимо хотелось доказать «превосходство» opensource, вот и взяли качественные проекты.

Reset ★★★★★ ()
Ответ на: комментарий от Reset

Как можно перепутать плазму с виндой?! Я ж не так как ты, я внимательно читаю и пишу.

daemonpnz ★★★★★ ()
Ответ на: комментарий от Reset

А проприетарщикам настолько стыдно, что они даже не разрешают опубликовать названия продуктов, которые исследовали.

daemonpnz ★★★★★ ()
Ответ на: комментарий от daemonpnz

Винда постоянно работает как ожидаешь, т.е падает от каждого чиха.

Ничего так ты чихаешь.

fragment ()
Ответ на: комментарий от Axel

> то есть приведенные данные по типам ПО надо понимать как выборочные?

Отчёт содержит результаты анализа более 37 миллионов строк кода 45-ти наиболее активно развивающихся проектов с открытым исходным кодом, а также около 300 миллионов строк кода 41-го неназванного проприетарного ПО.

baverman ★★★ ()
Ответ на: комментарий от baverman

Ну и?

В общем и целом для индустрии ПО этот показатель составляет 1,0 дефектов на 1000 строк кода.

То есть, анализировали и остальную индустрию?

Axel ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.