CDIC 2023

รายงานจาก Coverity Scan เผย โค้ดเชิงพาณิชย์ได้มาตรฐานความปลอดภัยสูงกว่าโอเพ่นซอร์ส

Synopsys, Inc. บริษัทซอฟต์แวร์และโปรแกรมมิ่งชื่อดังของสหรัฐฯ ได้ออกรายงาน Coverity Scan Open Source ของปี 2014 ที่ผ่านมา ซึ่งเป็นรายงานผลการวิเคราะห์ซอร์สโค้ดเกือบหนึ่งหมื่นล้านบรรทัดผ่านบริการ Coverity Scan และ Synopsys Coverity Software Testing Platformโดยทางบริษัทวิเคราะห์โค้ดแบบโอเพ่นซอร์สที่พัฒนาโดยใช้ภาษา C/C++ และโค้ดเชิงพาณิชย์รวมแล้วกว่า 2,500 โปรเจ็คท์ ผลปรากฏว่า โค้ดเชิงพาณิชย์มีการพัฒนาตามมาตรฐานความปลอดภัยสูงกว่าโค้ดแบบโอเพ่นซอร์ส

วิเคราะห์โค้ดกว่าหมื่นล้านบรรทัดจากมากกว่า 2,500 โปรเจ็คท์

Coverity Scan Open Source Report เป็นรายงานที่ได้รับการยอมรับอย่างกว้างขวางว่าเป็นมาตรฐานที่ใช้วัดคุณภาพของโค้ดแบบโอเพ่นซอร์ส โดยทาง Synopsys ได้ออกรายงานครั้งแรกเมื่อ 9 ปีก่อน จนถึงปัจจุบันนี้ ได้วิเคราะห์โค้ดไปแล้วหลายมากกว่า 5,100 โปรเจ็คท์ ไม่ว่าจะเป็น โปรเจ็คท์ C/C++ เช่น Linux, FreeBSD, LibreOffice, Python, PostgreSQL, Firefox และ NetBSD รวมไปถึงโปรเจ็คท์ Java เช่น Apache Hadoop, HBase, Tomcat, Cloudstack และ Cassandra ซึ่งบริการ Coverity Scan ได้ช่วยให้นักพัฒนาสามารถค้นหาและจัดการข้อบกพร่องมากกว่า 240,000 จุดตั้งแต่ปี 2006 ซึ่งในปี 2014 ที่ผ่านมา Sysnopsys ก็ได้ทำการวิเคราะห์โค้ดไปกว่าหมื่นล้านบรรทัดจาก 2,500+ โปรเจ็คท์ และช่วยชี้จุดบกพร่องไปมากกว่า 152,000 รายการ

สถิติของโค้ดเชิงพาณิชย์และโอเพ่นซอร์สที่น่าสนใจ

  • โอเพ่นซอร์สมีแน้วโน้ม Defect Density (จำนวนจุดบกพร่องต่อโค้ด 1,000 บรรทัด) ดีกว่าโค้ดเชิงพาณิชย์ โดยขยับลดลงจาก 0.66 ในปี 2013 มาที่ 0.61 ในปี 2014 ในขณะที่โค้ดเชิงพาณิชย์มี Defect Density อยู่ที่ 0.77 และ 0.76 ตามลำดับ
  • เมื่อวิเคราะห์โค้ดตามข้อกำหนดความปลอดภัย เช่น OWASP Top 10 และ CWE 25 กลับพบว่าโค้ดเชิงพาณิชย์มีการเขียนที่ได้มาตรฐานกว่าโอเพ่นซอร์ส
  • Coverity Scan ช่วยค้นหาจุดบกพร่องของโปรเจ็คท์ OpenSSL ที่อาจก่อให้เกิดผลกระทบเช่นเดียวกับบั๊ค Heartbleed ซึ่งปี 2014 ที่ผ่านมา สามารถแก้ปัญหาจุดบกพร่องได้ถึง 302 จุด ส่งผลให้มี Defect Density ที่ 0.21
  • บริการ Coverity Scan ช่วยค้นหาและแก้ไขปัญหาจุดบกพร่องที่มีระดับความรุนแรงสูงมากกว่า 500 รายการให้แก่ระบบปฏิบัติการ Linux เช่น Resource Leak, Memory Corruption และ Uninitialized Variable

“โปรเจ็คท์โอเพ่นซอร์สโฟกัสที่การแก้ปัญหาให้วงการไอที โดยผู้เชี่ยวชาญทางด้านไอที แต่ซอฟต์แวร์เชิงพาณิชย์มีแนวคิดที่แตกต่างออกไป โดยจะเน้นโฟกัสที่ ‘ปัญหาเชิงธุรกิจ’ ดังที่ผมประสบเจอด้วยตนเองกับ Lynis โอเพ่นซอร์สสำหรับทำ Audit ซึ่งเน้นเฉพาะตอบโจทย์ความต้องการของผู้ใช้ โดยที่ข้อกำหนดหรือมาตรฐานต่างๆจะเป็นเรื่องรอง แต่เมื่อเป็น Lynis Enterprise ก็มีการร้องขอเกี่ยวกับข้อกำหนดและมาตรฐานต่างๆมากขึ้น” — Michael Boelen ผู้ก่อตั้งบริษัทด้านความปลอดภัย CISOfy

อ่านรายงานฉบับเต็มได้ที่: http://go.coverity.com/register-for-scan-report-2014.html

ที่มา: http://news.synopsys.com/2015-07-29-Coverity-Scan-Open-Source-Report-Shows-Commercial-Code-Is-More-Compliant-to-Security-Standards-than-Open-Source-Code


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Gartner Hype Cycle ด้าน AI ปี 2023

Gartner ได้ออกคาดการณ์สำหรับการพัฒนาของ AI ในปี 2023 ซึ่งเจาะจงไปที่ Generative AI โดยหัวข้อแบ่งได้ 2 ส่วนคือ นวัตกรรมที่ได้รับการกระตุ้นจาก Generative AI และอีกส่วนคือ …

Apple ออกอัปเดต macOS Sonoma ให้ผู้ใช้งานทั่วไปอัปเดตได้แล้ว

Apple ออกอัปเดต macOS Sonoma ให้ผู้ใช้งานทั่วไปอัปเดตได้แล้ว