รายงานจาก Coverity Scan เผย โค้ดเชิงพาณิชย์ได้มาตรฐานความปลอดภัยสูงกว่าโอเพ่นซอร์ส

Synopsys, Inc. บริษัทซอฟต์แวร์และโปรแกรมมิ่งชื่อดังของสหรัฐฯ ได้ออกรายงาน Coverity Scan Open Source ของปี 2014 ที่ผ่านมา ซึ่งเป็นรายงานผลการวิเคราะห์ซอร์สโค้ดเกือบหนึ่งหมื่นล้านบรรทัดผ่านบริการ Coverity Scan และ Synopsys Coverity Software Testing Platformโดยทางบริษัทวิเคราะห์โค้ดแบบโอเพ่นซอร์สที่พัฒนาโดยใช้ภาษา C/C++ และโค้ดเชิงพาณิชย์รวมแล้วกว่า 2,500 โปรเจ็คท์ ผลปรากฏว่า โค้ดเชิงพาณิชย์มีการพัฒนาตามมาตรฐานความปลอดภัยสูงกว่าโค้ดแบบโอเพ่นซอร์ส

วิเคราะห์โค้ดกว่าหมื่นล้านบรรทัดจากมากกว่า 2,500 โปรเจ็คท์

Coverity Scan Open Source Report เป็นรายงานที่ได้รับการยอมรับอย่างกว้างขวางว่าเป็นมาตรฐานที่ใช้วัดคุณภาพของโค้ดแบบโอเพ่นซอร์ส โดยทาง Synopsys ได้ออกรายงานครั้งแรกเมื่อ 9 ปีก่อน จนถึงปัจจุบันนี้ ได้วิเคราะห์โค้ดไปแล้วหลายมากกว่า 5,100 โปรเจ็คท์ ไม่ว่าจะเป็น โปรเจ็คท์ C/C++ เช่น Linux, FreeBSD, LibreOffice, Python, PostgreSQL, Firefox และ NetBSD รวมไปถึงโปรเจ็คท์ Java เช่น Apache Hadoop, HBase, Tomcat, Cloudstack และ Cassandra ซึ่งบริการ Coverity Scan ได้ช่วยให้นักพัฒนาสามารถค้นหาและจัดการข้อบกพร่องมากกว่า 240,000 จุดตั้งแต่ปี 2006 ซึ่งในปี 2014 ที่ผ่านมา Sysnopsys ก็ได้ทำการวิเคราะห์โค้ดไปกว่าหมื่นล้านบรรทัดจาก 2,500+ โปรเจ็คท์ และช่วยชี้จุดบกพร่องไปมากกว่า 152,000 รายการ

สถิติของโค้ดเชิงพาณิชย์และโอเพ่นซอร์สที่น่าสนใจ

• โอเพ่นซอร์สมีแน้วโน้ม Defect Density (จำนวนจุดบกพร่องต่อโค้ด 1,000 บรรทัด) ดีกว่าโค้ดเชิงพาณิชย์ โดยขยับลดลงจาก 0.66 ในปี 2013 มาที่ 0.61 ในปี 2014 ในขณะที่โค้ดเชิงพาณิชย์มี Defect Density อยู่ที่ 0.77 และ 0.76 ตามลำดับ
• เมื่อวิเคราะห์โค้ดตามข้อกำหนดความปลอดภัย เช่น OWASP Top 10 และ CWE 25 กลับพบว่าโค้ดเชิงพาณิชย์มีการเขียนที่ได้มาตรฐานกว่าโอเพ่นซอร์ส
• Coverity Scan ช่วยค้นหาจุดบกพร่องของโปรเจ็คท์ OpenSSL ที่อาจก่อให้เกิดผลกระทบเช่นเดียวกับบั๊ค Heartbleed ซึ่งปี 2014 ที่ผ่านมา สามารถแก้ปัญหาจุดบกพร่องได้ถึง 302 จุด ส่งผลให้มี Defect Density ที่ 0.21
• บริการ Coverity Scan ช่วยค้นหาและแก้ไขปัญหาจุดบกพร่องที่มีระดับความรุนแรงสูงมากกว่า 500 รายการให้แก่ระบบปฏิบัติการ Linux เช่น Resource Leak, Memory Corruption และ Uninitialized Variable

“โปรเจ็คท์โอเพ่นซอร์สโฟกัสที่การแก้ปัญหาให้วงการไอที โดยผู้เชี่ยวชาญทางด้านไอที แต่ซอฟต์แวร์เชิงพาณิชย์มีแนวคิดที่แตกต่างออกไป โดยจะเน้นโฟกัสที่ ‘ปัญหาเชิงธุรกิจ’ ดังที่ผมประสบเจอด้วยตนเองกับ Lynis โอเพ่นซอร์สสำหรับทำ Audit ซึ่งเน้นเฉพาะตอบโจทย์ความต้องการของผู้ใช้ โดยที่ข้อกำหนดหรือมาตรฐานต่างๆจะเป็นเรื่องรอง แต่เมื่อเป็น Lynis Enterprise ก็มีการร้องขอเกี่ยวกับข้อกำหนดและมาตรฐานต่างๆมากขึ้น” — Michael Boelen ผู้ก่อตั้งบริษัทด้านความปลอดภัย CISOfy

อ่านรายงานฉบับเต็มได้ที่: http://go.coverity.com/register-for-scan-report-2014.html

ที่มา: http://news.synopsys.com/2015-07-29-Coverity-Scan-Open-Source-Report-Shows-Commercial-Code-Is-More-Compliant-to-Security-Standards-than-Open-Source-Code