Synopsys, Inc. บริษัทซอฟต์แวร์และโปรแกรมมิ่งชื่อดังของสหรัฐฯ ได้ออกรายงาน Coverity Scan Open Source ของปี 2014 ที่ผ่านมา ซึ่งเป็นรายงานผลการวิเคราะห์ซอร์สโค้ดเกือบหนึ่งหมื่นล้านบรรทัดผ่านบริการ Coverity Scan และ Synopsys Coverity Software Testing Platformโดยทางบริษัทวิเคราะห์โค้ดแบบโอเพ่นซอร์สที่พัฒนาโดยใช้ภาษา C/C++ และโค้ดเชิงพาณิชย์รวมแล้วกว่า 2,500 โปรเจ็คท์ ผลปรากฏว่า โค้ดเชิงพาณิชย์มีการพัฒนาตามมาตรฐานความปลอดภัยสูงกว่าโค้ดแบบโอเพ่นซอร์ส
วิเคราะห์โค้ดกว่าหมื่นล้านบรรทัดจากมากกว่า 2,500 โปรเจ็คท์
Coverity Scan Open Source Report เป็นรายงานที่ได้รับการยอมรับอย่างกว้างขวางว่าเป็นมาตรฐานที่ใช้วัดคุณภาพของโค้ดแบบโอเพ่นซอร์ส โดยทาง Synopsys ได้ออกรายงานครั้งแรกเมื่อ 9 ปีก่อน จนถึงปัจจุบันนี้ ได้วิเคราะห์โค้ดไปแล้วหลายมากกว่า 5,100 โปรเจ็คท์ ไม่ว่าจะเป็น โปรเจ็คท์ C/C++ เช่น Linux, FreeBSD, LibreOffice, Python, PostgreSQL, Firefox และ NetBSD รวมไปถึงโปรเจ็คท์ Java เช่น Apache Hadoop, HBase, Tomcat, Cloudstack และ Cassandra ซึ่งบริการ Coverity Scan ได้ช่วยให้นักพัฒนาสามารถค้นหาและจัดการข้อบกพร่องมากกว่า 240,000 จุดตั้งแต่ปี 2006 ซึ่งในปี 2014 ที่ผ่านมา Sysnopsys ก็ได้ทำการวิเคราะห์โค้ดไปกว่าหมื่นล้านบรรทัดจาก 2,500+ โปรเจ็คท์ และช่วยชี้จุดบกพร่องไปมากกว่า 152,000 รายการ
สถิติของโค้ดเชิงพาณิชย์และโอเพ่นซอร์สที่น่าสนใจ
- โอเพ่นซอร์สมีแน้วโน้ม Defect Density (จำนวนจุดบกพร่องต่อโค้ด 1,000 บรรทัด) ดีกว่าโค้ดเชิงพาณิชย์ โดยขยับลดลงจาก 0.66 ในปี 2013 มาที่ 0.61 ในปี 2014 ในขณะที่โค้ดเชิงพาณิชย์มี Defect Density อยู่ที่ 0.77 และ 0.76 ตามลำดับ
- เมื่อวิเคราะห์โค้ดตามข้อกำหนดความปลอดภัย เช่น OWASP Top 10 และ CWE 25 กลับพบว่าโค้ดเชิงพาณิชย์มีการเขียนที่ได้มาตรฐานกว่าโอเพ่นซอร์ส
- Coverity Scan ช่วยค้นหาจุดบกพร่องของโปรเจ็คท์ OpenSSL ที่อาจก่อให้เกิดผลกระทบเช่นเดียวกับบั๊ค Heartbleed ซึ่งปี 2014 ที่ผ่านมา สามารถแก้ปัญหาจุดบกพร่องได้ถึง 302 จุด ส่งผลให้มี Defect Density ที่ 0.21
- บริการ Coverity Scan ช่วยค้นหาและแก้ไขปัญหาจุดบกพร่องที่มีระดับความรุนแรงสูงมากกว่า 500 รายการให้แก่ระบบปฏิบัติการ Linux เช่น Resource Leak, Memory Corruption และ Uninitialized Variable
“โปรเจ็คท์โอเพ่นซอร์สโฟกัสที่การแก้ปัญหาให้วงการไอที โดยผู้เชี่ยวชาญทางด้านไอที แต่ซอฟต์แวร์เชิงพาณิชย์มีแนวคิดที่แตกต่างออกไป โดยจะเน้นโฟกัสที่ ‘ปัญหาเชิงธุรกิจ’ ดังที่ผมประสบเจอด้วยตนเองกับ Lynis โอเพ่นซอร์สสำหรับทำ Audit ซึ่งเน้นเฉพาะตอบโจทย์ความต้องการของผู้ใช้ โดยที่ข้อกำหนดหรือมาตรฐานต่างๆจะเป็นเรื่องรอง แต่เมื่อเป็น Lynis Enterprise ก็มีการร้องขอเกี่ยวกับข้อกำหนดและมาตรฐานต่างๆมากขึ้น” — Michael Boelen ผู้ก่อตั้งบริษัทด้านความปลอดภัย CISOfy
อ่านรายงานฉบับเต็มได้ที่: http://go.coverity.com/register-for-scan-report-2014.html