Opensource: 1 ошибка на 1 000 строк кода

[MaSe]

http://goryachij.nnm.ru/opensource_1_os ... strok_koda

В Департаменте внутренней безопасности США завершено очередное исследование открытого программного обеспечения. Согласно данным исследования 180 наиболее используемых открытых программных продуктов, в среднем на 1 000 строк программного кода приходится 1 ошибка или уязвимость безопасности, приводящая к угрозе атаки на систему или несанкционированному доступу.

Проект, получивший название Open Source Hardening Project, был инициирован и спонсирован американским ведомством, однако проведен он был исследовательской компанией Coverity и Стенфордским университетом. Проект стартовал к конце 2006 года и обошелся в 300 000 долларов.

В заявлении Департамента говорится, что почти во всех проектах были найдены ранее неизвестные ошибки, в том числе и критические. Всего же за год было проанализировано 50 млн строк кода, входящего в 250 проектов, а разработчики получили данные о 7 826 уязвимостях.

В компании Coverity также сообщили, что провели расширенное тестирование 400 закрытых коммерческих продуктов по заказу государственных органов и разработчиков этих продуктов, однако ни госзаказчик, ни разработчики не дали прав на разглашение результатов тестирования коммерческих продуктов.

Исследователи говорят, что многие открытые продукты прошли несколько кругов тестирования, в результате которых количество ошибок сокращалось, так как для них выпускались патчи. Несмотря на это, даже после трех раундов тестирования, говорят в Coverity, осталось 11 популярных открытых продуктов, в которых по-прежнему присутствуют уязвимости и ошибки. К таким продуктам исследователи отнесли Amanda, NTP, OpenPAM, OpenVPN, Overdose, Perl, PHP, Postfix, Python, Samba и TCL. Были найдены ошибки и в таких продуктах, как ядро Linux, Apache и Firefox.

Однако, по словам Девида Максвела, аналитика Coverity, фактически второй раунд тестирования означал максимально строгое тестирование, в котором были использованы наиболее продвинутые механизмы детектирвоания, в том числе различные предикативные методы и эвристический анализ. Максвелл говорит, что в случае, если продукт доходит до второго раунда, то фактически это означает пригодность этого продукта к использованию в подавляющем большинстве сред.

Еще одной особенностью открытых программных продуктов стала максимальная оперативность их создателей в исправлении ошибок. Так, например программное обеспечение Samba содержит в себе около 450 000 строк кода, где за год было найдено 236 различных недочетов, 228 из которых полностью устранены к завершению исследования.

[MaSe]

В компании Coverity также сообщили, что провели расширенное тестирование 400 закрытых коммерческих продуктов по заказу государственных органов и разработчиков этих продуктов, однако ни госзаказчик, ни разработчики не дали прав на разглашение результатов тестирования коммерческих продуктов.

улыбнуло

[cyberone]

х ошибок на у строк кода - это какой-то интересный показатель. Что он показывает?

[Ensase]

плотность ошибок в программе

[cyberone]

все равно непонятно, как оценить безошибочный HelloWorld и системный программный продукт. Что такое ошибка? Если считать что это несоответствие требованиям заказчика, тогда получается что не бывает программ без ошибок кроме HelloWorld'ов.

Однажды ученик спросил учителя, как избавиться от глюков в программах, и учитель дал ему вирус CIH. Однажды другой ученик сказал учителю, что хочет программу без глюков. "Дурак! - крикнул учитель, - почему ты не просишь глюк без программы?", - и ударил его винчестером по голове. Если вы еще не обрели просветление, с вами не о чем говорить.

[Ensase]

Брукс, Мифический человеко-месяц

[gil]

Если бы открыли код Windows XP, и там подсчитали :D

[Ensase]

Открыли ядро 2003 сервера. Там лицензия для навороченных вузов.

Смотрел я эти исходники.

Еще глумми дизассемблированием правильно восстанавливал, ток проверок больше

[gil]

Почему тогда нет отчета о его тестировании? Ах, да, потому что лицензия.. Опять-таки деньги.. Идеи нет высокой у Microsoft.. Да и не будет..

[Ensase]

за то качество есть.

[gil]

Можно с этого места поподробнее.
Качество в чем?
Может, в недельном аптайме с дикими тормозами? Или в том, что Windows некорректно чистит оперативку после приложений? Бывают ситуации, что висит так, что taskmgr на Alt+Ctrl+Del не вылетает. А у мну небыло ниразу ситуации, чтобы Иксы не ушли по командам Alt+Ctrl+BkSp. Даже консоль всегда по Alt+Ctrl+F1 появляется.
Где качество в Windows?

[Ensase]

Диспетчер задач вызывается по Ctrl+Shift+Esc.

Кстати тормозной сильно линукс работать в иксах невозможно (убунту 7.04 на Celeron-840 ОЗУ-192) в то время как win2000 летает.

2000-ник у меня скорость работы не изменяет, сколько б не стоял.

Нормально чистит прецедентов не было.

[gil]

У мну в ХР вызывался по Alt+Ctrl+Del, про Ctrl+Shift+Esc я тоже знаю со времен W2K..

Сколько б ни стоял.. Аптайм - время включенной системой..
Погоняй в Unreal Tournament 2004 часик, запусти парочку Word'ов, Excel'ей.. И так неделю подряд..

А вот по прошествии недели (без перезагрузок и прочего) воткни что-нибудь..

А вот насчет Celeron-840 ОЗУ-192 - эт ты зря.. На нем у мну Иксы бы пошли нормально.. Если ты Иксами называешь Gnome - то тут уже речь о твоей некомпетентности в Linux..

[gil]

<...> В Департаменте внутренней безопасности США завершено очередное исследование открытого программного обеспечения. Согласно данным исследования 180 наиболее используемых открытых программных продуктов, в среднем на 1 000 строк программного кода приходится 1 ошибка или уязвимость безопасности, приводящая к угрозе атаки на систему или несанкционированному доступу. <...>

все дело, думаю, в том, что все проплачено Microsoft, ибо от них многое зависит в США.. они там творят, что хотят.. это мое ИМХО..

[Ensase]

в игры не играю, офис не стоит.

после 10-15 бсодов винда себя нормально чуствует.

я понимаю что можно под иксами что-нибудь попроще запустить типа иксфце, виндов майкера итп.
но ведь експлорер - это тоже рабочая среда типа гном\кде?