Actu
Etude Coverity™ et le Ministère de l’intérieur américain : les logiciels Open Source s’améliore au fil des ans
mai 2008 par Marc Jacob
Coverity™ Inc. annonce la disponibilité du rapport d’étude Scan 2008 sur les logiciels Open Source. Le site Coverity Scan a été développé par Coverity avec le soutien du Ministère de l’intérieur américain (US Department of Homeland Security) dans le cadre du programme gouvernemental dédié à l’amélioration de la sécurité des logiciels Open Source (Open Source Hardening Project). Ce rapport d’étude repose sur l’analyse récurrente pendant deux ans de plus de 55 millions de lignes de code issues de 250 projets de logiciels libres. Cet analyse a été conduite avec Coverity Prevent™, la solution leader d’analyse statique de code source.
Parmi les projets Open Source analysés par le site Scan figurent certaines des applications les plus utilisées au monde, à l’instar du serveur Web Apache ou du système d’exploitation Linux. L’analyse de code source par le site Scan est librement accessible à tout développeur habilité de logiciels Open Source.
L’ampleur et le volume des données d’analyse présentées par le rapport Scan 2008 sur les logiciels Open Source sont sans commune mesure avec les nombreux projets existants d’analyse de code. Ce rapport couvre en effet 14 238 projets pour un total de près de 10 milliards de lignes de code analysées pendant deux ans.
Aussi bien applicables aux logiciels Open Source qu’aux logiciels commerciaux, les conclusions que tire ce rapport couvrent des variables aussi importantes que le volume du code source, la densité d’erreurs, la longueur des fonctions, la complexité cyclomatique ou encore l’indicateur Halstead. En bref, le rapport Scan 2008 sur les logiciels Open Source présente les découvertes suivantes :
– La qualité et la sécurité du code source des logiciels Open Source s’améliore : les chercheurs de Scan ont observé – sur une période de deux ans – une réduction de 16 % de la densité des erreurs détectées par analyse statique, ce qui correspond à l’élimination moyenne de plus de 8 500 erreurs.
– La prédominance de certains types d’erreurs : le rapport établit une distinction claire entre les fréquences de certains types d’erreurs et ce, pour l’ensemble des données analysées. Par exemple, l’erreur de déréférencement de pointeur nul était la plus courante, tandis que l’utilisation de valeurs négatives avant test était, de loin, la moins fréquente.
– Liens entre longueur moyenne des fonctions d’un projet et densité d’erreurs révélées par analyse statique : contrairement aux idées reçues, les projets utilisant en moyenne des fonctions plus longues ne sont pas plus exposés aux risques d’erreurs.
– Liens entre complexité cyclomatique et indicateur d’effort Halstead : l’étude démontre que ces deux indicateurs de complexité du code sont corrélés de manière significative au volume du code source.
– Taux de faux positifs : le taux moyen de faux positifs calculé par le site Scan sur les projets Open Source est inférieur à 14 %.
L’analyse détaillée et les données exactes relatives à ces découvertes sont disponibles dans la version complète du rapport Scan 2008 sur les logiciels libres.
