Проверка открытых программ на качество кода продолжается

01.07.2005 14:34

Исходный код операционных систем FreeBSD и OpenBSD был подвергнут аудиту, при помощи ПО Coverity, предназначенного для автоматизированного выявления ошибок и проблем с безопасностью.

В итоге, в FreeBSD было обнаружено 306 проблем, т.е. одна ошибка на 4000 строк кода. Проводимый тест Linux ядра, выявил 950 ошибок (1 ошибка на 10000 строк), большинство из которых приходится на код драйверов устройств. Ранее, в MySQL было найдено 97 проблем, в Berkeley DB - 26.

Что касается OpenBSD, то число найденных ошибок не сообщается, но известно, что несколько разработчиков OpenBSD работают в компании создавшей Coverity и процесс исправления, основанный на работе Coverity, отражается в CVS комментариях.

исправить +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/5708-security

Ключевые слова: security

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (9)

1.1, Алхимик (?), 15:44, 01/07/2005 [ответить]	+/–
Судя по данным в ссылке, с ошибками в Open явно проблемы. Надо будет им сделать специальную должность - bug-commiter. Что бы скучно не было :)

1.2, Аноним (2), 16:21, 01/07/2005 [ответить]	+/–
Интересно, а эти ошибки публикуются для разработчиков ядра, что бы они знали что исправлять?

1.3, eMax (?), 17:51, 01/07/2005 [ответить]	+/–
Проблемы как раз у комерческого софта - там одна ощибка на 1000 строк кода:-)))

1.4, Аноним (2), 09:17, 02/07/2005 [ответить]	+/–
а что Тео не показал количество ошибок в опен ? стыдно наверно будет отвечать за недавний бред типа "линукс - ошибка на ошибке"

2.5, Аноним (-), 18:19, 02/07/2005 [^] [^^] [^^^] [ответить]

+/–

> а что Тео не показал количество ошибок в опен ?
> стыдно наверно будет отвечать за недавний бред типа "линукс - ошибка на
> ошибке"

Во-первых Coverity (как и остальные подобные продукты) находит только очень примитивные ошибки, типа в память пишут после освобождения, или разыменовуют указатель, а только после этого проверяют его валидность. Это ближе к опечаткам, чем к серьёзным ошибкам программирования. Что-то сложнее найти Coverity не под силу. Тео вряд ли имел в виду такие "опечатки".

Во-вторых столь хорошие результаты у Линукс мне кажется следует объяснять тем, что IBM, RedHat и прочие конторы вкладывающие бабло в Линукс приобрели Coverity (или его аналог) до того, как Coverity начало эти рекламные проверки open source продуктов.

1.6, denixa (??), 10:13, 04/07/2005 [ответить]	+/–
Если кодер делает такие приметивные ошибки, то что он там еще наваратить может.

2.8, Raist (??), 20:28, 12/07/2005 [^] [^^] [^^^] [ответить]	+/–
а ты напиши 10000 сток и потом проверь на ошибки :)))

1.7, Аноним (2), 12:41, 07/07/2005 [ответить]	+/–
Вот проверить бы Microsoft на ошибки. Так - ради интереса :)

1.9, Den (??), 15:59, 13/07/2005 [ответить]	+/–
Вот самый важный кусок: Not all the potential flaws found by analysis tools are security holes. For FreeBSD, while 306 problems were flagged by Coverity's software, only 5 issues could be triggered by user input. The software classified another 12 vulnerabilities as buffer overruns, another potentially serious security issue. Т.е. потенциально максимум 17 ошибок, связанных с безопасностью.

Добавить комментарий

Текст: