Des chercheurs dévoilent des informations inédites sur la densité d'erreurs, le volume du code source et d'autres indicateurs de complexité du code

Coverity™ Inc., leader mondial dans l'amélioration automatique de la qualité et de la sécurité des logiciels, annonce aujourd'hui la disponibilité du rapport d'étude Scan 2008 sur les logiciels Open Source. Le site Coverity Scan a été développé par Coverity avec le soutien du Ministère de l'intérieur américain (US Department of Homeland Security) dans le cadre du programme gouvernemental dédié à l'amélioration de la sécurité des logiciels Open Source (Open Source Hardening Project). Ce rapport d'étude repose sur l'analyse récurrente pendant deux ans de plus de 55 millions de lignes de code issues de 250 projets de logiciels libres. Cet analyse a été conduite avec Coverity Prevent™, la solution leader d'analyse statique de code source.



« L'amélioration continue de projets dont le niveau de qualité et de sécurité de code est pourtant déjà très élevé souligne la volonté des développeurs Open Source de garantir l'intégrité de leurs logiciels », déclare David Maxwell, analyste stratégique des logiciels libres de Coverity. « Le travail entrepris avec la communauté Open Souce au cours des deux dernières années a constitué une opportunité exceptionnelle pour l'ensemble de nos chercheurs, qu'ils soient affectés au site Coverity Scan ou non. Sur la base des commentaires formulés par les lecteurs des premières versions du rapport, la version finale contient des révélations assez surprenantes sur les liens entre densité d'erreurs et complexité du code, et jette de solides bases pour les travaux de recherche futurs sur la nature des logiciels. »



Parmi les projets Open Source analysés par le site Scan figurent certaines des applications les plus utilisées au monde, à l'instar du serveur Web Apache ou du système d'exploitation Linux. L'analyse de code source par le site Scan est librement accessible à tout développeur habilité de logiciels Open Source : http://scan.coverity.com.



«Ces trois dernières années, la collaboration entre Coverity et la fondation FreeBSD s'est avérée aussi passionnante qu'utile », déclare Robert Watson, Président de la Fondation FreeBSD. « Coverity a eu un impact très positif sur la qualité de notre code source et nous a permis d'améliorer notre méthodologie de développement logiciel. »



L'ampleur et le volume des données d'analyse présentées par le rapport Scan 2008 sur les logiciels Open Source sont sans commune mesure avec les nombreux projets existants d'analyse de code. Ce rapport couvre en effet 14 238 projets pour un total de près de 10 milliards de lignes de code analysées pendant deux ans.



Aussi bien applicables aux logiciels Open Source qu'aux logiciels commerciaux, les conclusions que tire ce rapport couvrent des variables aussi importantes que le volume du code source, la densité d'erreurs, la longueur des fonctions, la complexité cyclomatique ou encore l'indicateur Halstead. En bref, le rapport Scan 2008 sur les logiciels Open Source présente les découvertes suivantes :

· La qualité et la sécurité du code source des logiciels Open Source s'améliore : les chercheurs de Scan ont observé – sur une période de deux ans – une réduction de 16 % de la densité des erreurs détectées par analyse statique, ce qui correspond à l'élimination moyenne de plus de 8 500 erreurs.

· La prédominance de certains types d'erreurs : le rapport établit une distinction claire entre les fréquences de certains types d'erreurs et ce, pour l'ensemble des données analysées. Par exemple, l'erreur de déréférencement de pointeur nul était la plus courante, tandis que l'utilisation de valeurs négatives avant test était, de loin, la moins fréquente.

· Liens entre longueur moyenne des fonctions d'un projet et densité d'erreurs révélées par analyse statique : contrairement aux idées reçues, les projets utilisant en moyenne des fonctions plus longues ne sont pas plus exposés aux risques d'erreurs.

· Liens entre complexité cyclomatique et indicateur d'effort Halstead : l'étude démontre que ces deux indicateurs de complexité du code sont corrélés de manière significative au volume du code source.

· Taux de faux positifs : le taux moyen de faux positifs calculé par le site Scan sur les projets Open Source est inférieur à 14 %.



L'analyse détaillée et les données exactes relatives à ces découvertes sont disponibles dans la version complète du rapport Scan 2008 sur les logiciels libres. Le document peut être téléchargé gratuitement à l'adresse suivante : http://scan.coverity.com.



« Le fait de mettre les technologies Open Source au service des solutions commerciales – pour les améliorer ou les faire évoluer – est une stratégie désormais assez courante. Certains éditeurs favorisent cette tendance en intégrant du code Open Source à leurs produits tandis que certaines organisations adoptent les projets Open Source réputés stables comme de véritables solutions alternatives, et contrent ainsi les arguments de certains éditeurs se refusant à reconnaître l'exploitabilité des logiciels Open Source dans un contexte professionnel. D'ici 2012, plus de 80 % des logiciels commerciaux devraient intégrer des éléments ou des technologies issues de projets Open Source », déclare l'analyste Mark Driver dans son rapport « La place de l'Open Source dans la stratégie de développement des éditeurs » (Open Source in Vendor Business Strategies, 2008), publié par Gartner le 31 mars dernier.



Les résultats du rapport d'étude Scan 2008 sur les logiciels libres feront également l'objet d'un séminaire en ligne, animé le 21 mai par David Maxwell, stratégiste en solutions Open Source chez Coverity. Pour vous y inscrire gratuitement, rendez-vous à l'adresse suivante : http://w.on24.com/r.htm?e=107874&s=1&k=41E3686F9B655D193F894D4A844EBBC6