开发测试服务提供商Coverity近日发布了一份开源软件质量报告——《2012 Coverity Scan Open Source Report》(http://softwareintegrity.coverity.com/confirmation-for-the-coverity-2012-scan-report.html?aliId=14196719 ,也可以从微盘下载:http://vdisk.weibo.com/s/IcF55 更快 ),这份报告显示,开源软件质量最近三年(2010-2012)的代码质量要低于之前两年(2008-2009),08-09年缺陷密度每千行代码(KLOC)低于0.3,而2010和2012年的缺陷密度是08-09年的2倍还要多。2010年最糟糕,这两年有所改善。另外,一般认为缺陷密度低于1/KLOC,其质量是不错的,从这个意义看,开源软件的代码质量反而高于业界平均水平。
一般认为软件项目规模越大,代码复杂度越高,则问题也会越多,缺陷密度也会越高。但从Coverity的报告来看,有这样的规律,但不是很显著,制度进一步探讨。进一步的研究,也挺有趣的,对于超过100万行代码的项目来说,专有项目的规模和质量呈现正比关系,而开源项目的规模和质量则呈现反比关系。这种差异可归因于两者不同的开发团队和开发测试流程。
报告显示,许多缺陷没能及时修复,但最近1年(2012年),Bug修正速度明显加快,见下图,2012年共有2.1万个漏洞被修复,这超过了2008-2011年修复漏洞的总和。
高风险安全漏洞依然存在,在扫描出的所有漏洞中,其中有36%被标记为“高风险”,这里面的主要错误类别有:
-
资源泄露
-
内存冲突
-
内存非法存取
-
变量未初始化就被使用
还有其它一些分析,可以下载报告原文浏览。
Coverity 扫描报告已经成为了一个衡量开源软件质量状态的被广泛接受的标准,在过去的7年时间,Coverity已经分析了300多个开源项目的超过8.5亿行代码,这些项目包括Linux、PHP、Apache等。
该项研究始于2006年,最初由Coverity公司和美国国土安全部合作进行,旨在研究开源软件的完整性,现在由Coverity公司负责进行。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
