TOOLinux

Le journal du Libre

Une étude américiane souligne l’amélioration continue des logiciels libres

jeudi 22 mai 2008

Coverity livrait cette semaine son rapport d’étude Scan 2008 sur les logiciels Open Source. Le site Coverity Scan a été développé par Coverity avec le soutien du Ministère de l’intérieur américain, dans le cadre du programme gouvernemental dédié à l’amélioration de la sécurité des logiciels Open Source.

Ce rapport d’étude repose sur l’analyse récurrente pendant deux ans de plus de 55 millions de lignes de code issues de 250 projets de logiciels libres. Cet analyse a été conduite - on n’est jamais aussi bien servi que par soi-même - avec Coverity Prevent.

Parmi les projets Open Source analysés par le site Scan figurent le serveur Web Apache ou du système d’exploitation Linux et FreeBSD.

L’ampleur et le volume des données d’analyse présentées par le rapport Scan 2008 sur les logiciels Open Source sont sans commune mesure avec les nombreux projets existants d’analyse de code. Ce rapport couvre en effet 14 238 projets pour un total de près de 10 milliards de lignes de code analysées pendant deux ans.

Quels sont les enseignements du rapport qui nous intéresse ?

  • La qualité et la sécurité du code source des logiciels Open Source s’améliore : les chercheurs de Scan ont observé - sur une période de deux ans - une réduction de 16 % de la densité des erreurs détectées par analyse statique, ce qui correspond à l’élimination moyenne de plus de 8 500 erreurs.
  • La prédominance de certains types d’erreurs : le rapport établit une distinction claire entre les fréquences de certains types d’erreurs et ce, pour l’ensemble des données analysées. Par exemple, l’erreur de déréférencement de pointeur nul était la plus courante, tandis que l’utilisation de valeurs négatives avant test était, de loin, la moins fréquente.
  • Liens entre longueur moyenne des fonctions d’un projet et densité d’erreurs révélées par analyse statique : contrairement aux idées reçues, les projets utilisant en moyenne des fonctions plus longues ne sont pas plus exposés aux risques d’erreurs.
  • Liens entre complexité cyclomatique et indicateur d’effort Halstead : l’étude démontre que ces deux indicateurs de complexité du code sont corrélés de manière significative au volume du code source.
  • Taux de faux positifs : le taux moyen de faux positifs calculé par le site Scan sur les projets Open Source est inférieur à 14 %.

L’analyse détaillée et les données exactes relatives à ces découvertes sont disponibles dans la version complète du rapport Scan 2008 sur les logiciels libres.
L’analyse de code source par le site Scan est librement accessible sur le site scan.coverity.com.

Les résultats du rapport d’étude Scan 2008 sur les logiciels libres feront également l’objet d’un séminaire en ligne, animé le 21 mai par David Maxwell, stratégiste en solutions Open Source chez Coverity. Pour vous y inscrire gratuitement, rendez-vous sur le site on24.com.