Transformation World
19.10.17 - 20.10.17
In Heidelberg

PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

10. gfo-Jahreskongress
25.10.17 - 26.10.17
In Düsseldorf

Google Analytics Summit 2017
09.11.17 - 09.11.17
In Hamburg

Coverity Scan ReportDer aktuelle Coverity Scan Open Source Report 2014 wartet mit einer Besonderheit auf. Überraschenderweise hat die kommerzielle Software 2014 Open-Source-Software bei der Erfüllung von Compliance-Standards überholt und konnte auch bei der Code-Qualität hinsichtlich der Fehlerdichte aufholen.

Beim Vergleich zwischen kommerzieller Software und Open-Source-Projekten zeigte sich, dass kommerzielle Software Compliance-Standards wie dem Top 10 des Open Web Application Security Projects (OWASP) und dem 25 Common Weakness Enumeration (CWE) besser entspricht als Open Source. Dies ist insofern überraschend, als Open-Source-Software seit 2013 eine geringere Fehlerdichte als kommerzielle Software aufweist und diesen – wenn auch abnehmenden – Vorsprung 2014 verteidigt hat.

Entwickler beheben 2014 laut Report 152.000 Fehler – mehr als zwischen 2006 und 2013 gefunden wurden

Für den aktuellen Coverity Scan Open Source Report wurden circa 10 Milliarden Codezeilen mit Hilfe des Coverity Scan Service und der Synopsys Coverity Software Testing Platform analysiert. Dies ist die größte Menge Codezeilen, die jemals für den Scan Report untersucht wurde. Die Analyse umfasst mehr als 2.500 C und C++ Open-Source-Projekte, sowie eine Auswahl kommerzieller Projekte. Hinzu kommen Ergebnisse von beliebten Open-Source-Projekten in Java und C#, die seit März 2013 Bestandteil des Reports sind.

Wichtige Ergebnisse des Reports:

  • Die Fehlerdichte (Anzahl der Fehler pro 1.000 Codezeilen) von Open Source und kommerziellen Code hat sich seit 2013 verbessert: Vergleicht man die Gesamtfehlerdichte von 2013 und 2014, fällt bei Open-Source-Projekten eine Verbesserung von 0,66 auf 0,61 Fehler je 1.000 Codezeilen auf. Kommerzielle Projekte verbesserten sich von 0,77 auf 0,76 Fehler je 1.000 Codezeilen. Eine Fehlerdichte unter 1,0 gilt als Industriestandard für eine hohe Qualität.
  • Coverity Scan konnte OpenSSL bei der Überprüfung nach Heartbleed helfen: Laut Tim Hudson, Mitgründer von OpenSSL, half Coverity Scan dabei, neue Fehler aufzudecken und potentielle Schwachstellen ausfindig zu machen, die Heartbleed ähneln. Seit Heartbleed hat OpenSSL 302 Fehler behoben, die Coverity Scan gefunden hat. Die Fehlerdichte von OpenSSL liegt aktuell bei 0,21 Fehlern je 1.000 Codezeilen.
  • Linux bleibt Maßstab bei der statistischen Analyse der Fehlerdichte: Linux ist seit 2006 Bestandteil des Coverity Scans und entspricht weiterhin dem eigenen Vorsatz hinsichtlich der Qualität, die weiterhin im Mittelpunkt steht. 2014 unterstützte Linux Coverity Scan dabei, über 500 kritische Fehler ausfindig zu machen und zu beseitigen, beispielsweise Ressourcenlecks, Speicherabweichungen und nicht initialisierte Variablen.

Zack Samocha, Marketingdirektor für die Software Integrity Group bei Synopsys: „Insgesamt hat die Softwarequalität und -sicherheit zugenommen. Allerdings sind weder Open Source noch kommerzielle Standards vollständig und eindeutig in der Lage, alle Gefährdungen zu verhindern. Softwareprojekte werden schneller als je zuvor auf den Markt gebracht, deshalb müssen Entwickler ein Gleichgewicht zwischen Sicherheit und Geschwindigkeit finden. Wenn mehr dieser Projekte auf Lösungen wie Coverity Scan setzen, erwarten wir für 2015 eine fortlaufende Verbesserung bei der Sicherheit von Open Source und kommerziellen Code.“

Der Coverity Scan Open Source Report ist mittlerweile ein etablierter Standard, um die Qualität von Open-Source-Code zu bewerten. Seit Beginn des Coverity Scan Projekts vor neun Jahren wurden bereits über 5.100 Open-Source-Projekte getestet, einschließlich C/C++-Projekte wie Linux, FreeBSD, LibreOffice, Python, PostgreSQL, Firefox und NetBSD und Java-Projekte, etwa Apache Hadoop, HBase, Tomcat, Cloudstack und Cassandra. Der Coverity Scan Report half Entwicklern seit 2006 dabei, mehr als 240.000 Software-Fehler zu identifizieren und zu beheben. Allein 2014 wurden 152.000 Fehler behoben – das sind mehr Fehler, als in den vorherigen sieben Jahren zusammen.

Download des vollständigen 2014 Coverity Scan Report (Englisch)

GRID LIST
Tb W190 H80 Crop Int 07194786dba733d0751a7623e87653ba

Mit Blockchain gegen Medikamentenfälschung

Ungefähr 10 % der weltweit im Umlauf befindlichen Medikamente sind Fälschungen, in…
Tb W190 H80 Crop Int 626d033088d7f52eaf216ec75478156a

Wie sich Microservices auf die Anwendungssicherheit auswirken

Die Architektur von Software verändert sich grundlegend – Microservices sind auf dem…
Tb W190 H80 Crop Int 9cc0f78c8e26d024ae4e442e61f01e6b

DeskCenter Management Suite integriert SAP-Lizenzmanagement

Die neueste Version der DeskCenter Management Suite ermöglicht jetzt Lizenzmanagement für…
Tb W190 H80 Crop Int 035a6203c3c7ceb839695851428ed4d1

Anaqua Update ermöglicht neue Einblicke in IP-Portfolios

Anaqua, Inc., ein Anbieter von Software und Dienstleistungen im Bereich Management und…
Tb W190 H80 Crop Int 402bf43442158cc1cb5db55d11e9d588

Liferay startet WeDeploy

Liferay, Inc., Anbieter einer Digital Experience Software für Unternehmen, gibt die…
Tb W190 H80 Crop Int A6f332afdd06bfc2ee8b3eb182a4dd96

Topaz auf AWS für die schnelle Modernisierung von COBOL

Ab sofort ist Topaz, die Flaggschiff-Lösung von Compuware für Mainframe Agile/DevOps, in…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet