Studieprogrammer Kvalitetsforbedring av åpen kildekode

Det totale antall mangler i open source-prosjekter går ned, en ny studie av leverandøren Coverity har funnet.

Coverity, produsent av verktøy for analyse av programmeringskode, mottok en kontrakt i 2006 fra US Department of Homeland Security to bidrar til å øke kvaliteten på open source-programvare, som i økende grad blir brukt av offentlige etater.

Leverandøren har satt opp et nettsted der open source-prosjekter og utviklere kan sende inn koden som skal analyseres. Leverandøren tildeler prosjekter til en rekke "rungs", avhengig av hvor mange feil de løser.

"Defekt tetthet" har falt 16 prosent de siste tre årene blant prosjektene som er skannet gjennom nettstedet og ca. 11 200 feil har blitt eliminert, i henhold til Coveritys siste rapport.

Fire prosjekter har fått toppnivå "Rung 3" -status, etter å ha løst mangler oppdaget under Rung 1 og 2, sa Coverity. De er Samba, Tor, OpenPAM og Ruby.

Scansite har hittil analysert mer enn 60 millioner unike kodelinjer fra 280 prosjekter, ifølge Coverity. Mer enn 180 prosjekter har utviklere aktivt jobbet med å skanne åpen kildekodeprosjekter.

Coveritys skanningstjeneste benytter statisk analyse, som brukes til å sjekke kode for sikkerhets- eller ytelsesproblemer uten å måtte kjøre et program selv. Dette er å foretrekke fordi "testing av hver bane i et komplekst program som det kjører krever å bygge et stort antall spesielle testtilfeller eller strukturere koden på spesielle måter," sier Coverity.

"Statisk analyse [verktøy] vil ikke fortelle deg at din forretningsprosess fungerer riktig … men de vil fortelle deg at selve koden er teknisk solid, og følger typen programmering beste praksis du kan forvente å se fra kode som har gått gjennom en ordentlig kodevurdering, sier Forrester Research analytiker Jeffrey Hammond via e-post.

Verktøyene pleier å være mest nyttige for å finne "strukturelle" antimønstre i kode, dårlig programmeringspraksis som kan resultere i ytelses- og sikkerhetsproblemer som minnelekkasje og bufferoverløp så vel som mer eksotiske forhold som feil på grunn av parallell kjøring av kode i et multicore CPU-miljø, "la han til.