2015年8月18日--新思科技近日公佈其2014年度Coverity Scan®開源碼檢測報告(Coverity Scan Open Source Report),這項研究是2006 年由美國國土安全部(U.S. Department of Homeland Security)啟動的一項公私合營專案計畫,旨在驗證開源軟體的品質與安全性,而這份年度報告將免費提供給開源碼社群使用,藉以協助他們在軟體開發的過程中,建立品質與安全管理機制。
Coverity Scan Open Source Report是透過Synopsys Coverity® 軟體商用測試平台進行分析近百億行的開源碼,是目前同類型檢測中具有最大樣本數的研究。2013年度的報告當中顯示,針對靜態分析(analysis defect)之缺陷密度,開源碼在品質上已超越商業程式碼,此趨勢持續在2014年度的報告中呈現;然而今年度Coverity Scan服務的報告將前10大開放網路軟體安全計畫 (OWASP, Open Web Application Security Project Top 10)和通用缺陷列表 (CWE, Common Weakness Enumeration 25)等安全合法標準也一併納入考量,結果則顯示商業程式碼比開源碼更能符合標準。
為能完成這份報告,軟體開發人員在2014年總共進行2,500多個開源C/C++專案及商業專案匿名樣本程式碼分析。此外,報告中也持別針對2013年3月起即加入Coverity Scan服務的數個大眾化、開源Java 和 C# 專案,提供分析結果。2014年度報告中的重要發現包括:
• 開源碼和商業程式碼的缺陷密度 (每1,000行程式碼之缺陷),自2013年起即逐年改善:相較2013與2014年度兩者間的整體缺陷密度,兩者的開源碼和商業程式碼的缺陷密度皆逐年改善。開源碼的缺陷密度從2013年的0.66,降低至2014年的0.61;而商業程式碼的缺陷密度,則從0.77改善至0.76。
• Coverity Scan協助OpenSSL進行Heartbleed漏洞事後調查:OpenSSL聯合創辦人Tim Hudson表示,Coverity Scan協助偵測最新發現的缺陷,並指出如Heartbleed漏洞等其他問題可能存在的地方。自Heartbleed漏洞被發現至今,OpenSSL已修正由Coverity Scan所發現的302個缺陷,目前的缺陷密度為0.21。
• Linux 仍然是靜態分析缺陷密度的基準:自2006年加入Coverity Scan服務以來,Linux 一直恪守品質為上的理念;在2014年間,Linux利用Coverity Scan服務找出並修正500多個會帶來嚴重衝擊(high-impact)的缺陷,包括資料洩漏、記憶體毀損和未初始化變數。
• 開源碼和商業程式碼的缺陷密度 (每1,000行程式碼之缺陷),自2013年起即逐年改善:相較2013與2014年度兩者間的整體缺陷密度,兩者的開源碼和商業程式碼的缺陷密度皆逐年改善。開源碼的缺陷密度從2013年的0.66,降低至2014年的0.61;而商業程式碼的缺陷密度,則從0.77改善至0.76。
• Coverity Scan協助OpenSSL進行Heartbleed漏洞事後調查:OpenSSL聯合創辦人Tim Hudson表示,Coverity Scan協助偵測最新發現的缺陷,並指出如Heartbleed漏洞等其他問題可能存在的地方。自Heartbleed漏洞被發現至今,OpenSSL已修正由Coverity Scan所發現的302個缺陷,目前的缺陷密度為0.21。
• Linux 仍然是靜態分析缺陷密度的基準:自2006年加入Coverity Scan服務以來,Linux 一直恪守品質為上的理念;在2014年間,Linux利用Coverity Scan服務找出並修正500多個會帶來嚴重衝擊(high-impact)的缺陷,包括資料洩漏、記憶體毀損和未初始化變數。
新思科技軟體整合事業群(Software Integrity Group)指出,雖然軟體的整體的品質和安全性正逐漸提升,但其中所涉及的開源和商業標準都還未臻完善,亦無法確切地發現每項缺陷;而由於軟體的上市時程較以往來得迫切,軟體開發人員需要在安全與速度之間取得平衡點,隨著這些專案開始採用如Coverity Scan的解決方案,我們預期在整個2015年度,開源碼與商業程式碼的安全性,都將會持續提升。
Coverity 開源檢測報告已廣泛被接受為評斷開源碼品質的衡量標準。自九年前開始提供檢測分析以來,Coverity Scan服務已分析過數十億行的程式碼;截至目前為止,也檢測過超過5,100個開源專案-包括 C/C++ 專案(例如 Linux、FreeBSD、LibreOffice、Python、PostgreSQL、Firefox 與NetBSD)及Java 專案(例如 Apache Hadoop、HBase、Tomcat、Cloudstack 和Cassandra)。自2006 年以來,Coverity Scan 已協助軟體開發人員找出並修正240,000多個軟體程式上的缺陷;如同Coverity 開源檢測報告上所記載,光在2014年度便已修正近152,000個缺陷,而這個數量已超過Coverity Scan服務歷年來檢測記錄的總合。
線上資源
• 下載完整版報告,請連結: 2014 Coverity Scan Report
• 閱讀我們的發展測試部落格
• 軟體開發人員如想為其C/C++, Java 或 C# 專案註冊,可連接Coverity Scan service
• 下載完整版報告,請連結: 2014 Coverity Scan Report
• 閱讀我們的發展測試部落格
• 軟體開發人員如想為其C/C++, Java 或 C# 專案註冊,可連接Coverity Scan service
關於Coverity Scan
Coverity Scan服務是2006 年由美國國土安全部(U.S. Department of Homeland Security)啟動的一項公私合營研究專案計畫,旨在驗證開源軟體的品質與安全性。隨著新思科技在2014年併購Coverity,此項專案現由新思科技負責管理,並將其所開發的測試技術,免費提供給開源碼社群使用,藉以協助它們在軟體開發的過程中,建立品質與安全管理機制。欲取得最新的升級版本,請為您的開源專案註冊Coverity Scan服務,並在社群平台Twitter上追蹤我們的最新動態。
Coverity Scan服務是2006 年由美國國土安全部(U.S. Department of Homeland Security)啟動的一項公私合營研究專案計畫,旨在驗證開源軟體的品質與安全性。隨著新思科技在2014年併購Coverity,此項專案現由新思科技負責管理,並將其所開發的測試技術,免費提供給開源碼社群使用,藉以協助它們在軟體開發的過程中,建立品質與安全管理機制。欲取得最新的升級版本,請為您的開源專案註冊Coverity Scan服務,並在社群平台Twitter上追蹤我們的最新動態。
關於新思科技
新思科技為開發日常所需的電子產品及軟體應用的創新公司提供「矽晶到軟體(Silicon to Software™)」解決方案的合作夥伴。身為全球第15大的軟體公司,新思科技長期以來是全球電子設計自動化(EDA)和半導體IP領域的領導者,同時透過旗下Coverity®解決方案,也成為提供軟體品質及安全測試的領導廠商。不論是針對開發先進半導體系統單晶片(SoC)的設計工程師,或正在撰寫應用程式且要求高品質及安全性解決方案的軟體開發工程師,新思科技都能提供所需的解決方案,以協助工程師完成創新、高品質並兼具安全性的產品。
新思科技為開發日常所需的電子產品及軟體應用的創新公司提供「矽晶到軟體(Silicon to Software™)」解決方案的合作夥伴。身為全球第15大的軟體公司,新思科技長期以來是全球電子設計自動化(EDA)和半導體IP領域的領導者,同時透過旗下Coverity®解決方案,也成為提供軟體品質及安全測試的領導廠商。不論是針對開發先進半導體系統單晶片(SoC)的設計工程師,或正在撰寫應用程式且要求高品質及安全性解決方案的軟體開發工程師,新思科技都能提供所需的解決方案,以協助工程師完成創新、高品質並兼具安全性的產品。
