新思科技近日公佈其2014年度Coverity Scan®開源碼檢測報告(Coverity Scan Open Source Report),這項研究是2006 年由美國國土安全部(U.S. Department of Homeland Security)啟動的一項公私合營專案計畫,旨在驗證開源軟體的品質與安全性,而這份年度報告將免費提供給開源碼社群使用,藉以協助他們在軟體開發的過程中,建立品質與安全管理機制。
Coverity Scan Open Source Report是透過Synopsys Coverity 軟體商用測試平台進行分析近百億行的開源碼,是目前同類型檢測中具有最大樣本數的研究。2013年度的報告當中顯示,針對靜態分析(analysis defect)之缺陷密度,開源碼在品質上已超越商業程式碼,此趨勢持續在2014年度的報告中呈現;然而今年度Coverity Scan服務的報告將前10大開放網路軟體安全計畫 (OWASP, Open Web Application Security Project Top 10)和通用缺陷列表 (CWE, Common Weakness Enumeration 25)等安全合法標準也一併納入考量,結果則顯示商業程式碼比開源碼更能符合標準。
為能完成這份報告,軟體開發人員在2014年總共進行2,500多個開源C/C++專案及商業專案匿名樣本程式碼分析。此外,報告中也持別針對2013年3月起即加入Coverity Scan服務的數個大眾化、開源Java 和 C# 專案,提供分析結果。2014年度報告中的重要發現包括:
