รายงานจาก Coverity Scan เผย โค้ดเชิงพาณิชย์ได้มาตรฐานความปลอดภัยสูงกว่าโอเพ่นซอร์ส

Synopsys, Inc. บริษัทซอฟต์แวร์และโปรแกรมมิ่งชื่อดังของสหรัฐฯ ได้ออกรายงาน Coverity Scan Open Source ของปี 2014 ที่ผ่านมา ซึ่งเป็นรายงานผลการวิเคราะห์ซอร์สโค้ดเกือบหนึ่งหมื่นล้านบรรทัดผ่านบริการ Coverity Scan และ Synopsys Coverity Software Testing Platformโดยทางบริษัทวิเคราะห์โค้ดแบบโอเพ่นซอร์สที่พัฒนาโดยใช้ภาษา C/C++ และโค้ดเชิงพาณิชย์รวมแล้วกว่า 2,500 โปรเจ็คท์ ผลปรากฏว่า โค้ดเชิงพาณิชย์มีการพัฒนาตามมาตรฐานความปลอดภัยสูงกว่าโค้ดแบบโอเพ่นซอร์ส

วิเคราะห์โค้ดกว่าหมื่นล้านบรรทัดจากมากกว่า 2,500 โปรเจ็คท์

Coverity Scan Open Source Report เป็นรายงานที่ได้รับการยอมรับอย่างกว้างขวางว่าเป็นมาตรฐานที่ใช้วัดคุณภาพของโค้ดแบบโอเพ่นซอร์ส โดยทาง Synopsys ได้ออกรายงานครั้งแรกเมื่อ 9 ปีก่อน จนถึงปัจจุบันนี้ ได้วิเคราะห์โค้ดไปแล้วหลายมากกว่า 5,100 โปรเจ็คท์ ไม่ว่าจะเป็น โปรเจ็คท์ C/C++ เช่น Linux, FreeBSD, LibreOffice, Python, PostgreSQL, Firefox และ NetBSD รวมไปถึงโปรเจ็คท์ Java เช่น Apache Hadoop, HBase, Tomcat, Cloudstack และ Cassandra ซึ่งบริการ Coverity Scan ได้ช่วยให้นักพัฒนาสามารถค้นหาและจัดการข้อบกพร่องมากกว่า 240,000 จุดตั้งแต่ปี 2006 ซึ่งในปี 2014 ที่ผ่านมา Sysnopsys ก็ได้ทำการวิเคราะห์โค้ดไปกว่าหมื่นล้านบรรทัดจาก 2,500+ โปรเจ็คท์ และช่วยชี้จุดบกพร่องไปมากกว่า 152,000 รายการ

สถิติของโค้ดเชิงพาณิชย์และโอเพ่นซอร์สที่น่าสนใจ

  • โอเพ่นซอร์สมีแน้วโน้ม Defect Density (จำนวนจุดบกพร่องต่อโค้ด 1,000 บรรทัด) ดีกว่าโค้ดเชิงพาณิชย์ โดยขยับลดลงจาก 0.66 ในปี 2013 มาที่ 0.61 ในปี 2014 ในขณะที่โค้ดเชิงพาณิชย์มี Defect Density อยู่ที่ 0.77 และ 0.76 ตามลำดับ
  • เมื่อวิเคราะห์โค้ดตามข้อกำหนดความปลอดภัย เช่น OWASP Top 10 และ CWE 25 กลับพบว่าโค้ดเชิงพาณิชย์มีการเขียนที่ได้มาตรฐานกว่าโอเพ่นซอร์ส
  • Coverity Scan ช่วยค้นหาจุดบกพร่องของโปรเจ็คท์ OpenSSL ที่อาจก่อให้เกิดผลกระทบเช่นเดียวกับบั๊ค Heartbleed ซึ่งปี 2014 ที่ผ่านมา สามารถแก้ปัญหาจุดบกพร่องได้ถึง 302 จุด ส่งผลให้มี Defect Density ที่ 0.21
  • บริการ Coverity Scan ช่วยค้นหาและแก้ไขปัญหาจุดบกพร่องที่มีระดับความรุนแรงสูงมากกว่า 500 รายการให้แก่ระบบปฏิบัติการ Linux เช่น Resource Leak, Memory Corruption และ Uninitialized Variable

“โปรเจ็คท์โอเพ่นซอร์สโฟกัสที่การแก้ปัญหาให้วงการไอที โดยผู้เชี่ยวชาญทางด้านไอที แต่ซอฟต์แวร์เชิงพาณิชย์มีแนวคิดที่แตกต่างออกไป โดยจะเน้นโฟกัสที่ ‘ปัญหาเชิงธุรกิจ’ ดังที่ผมประสบเจอด้วยตนเองกับ Lynis โอเพ่นซอร์สสำหรับทำ Audit ซึ่งเน้นเฉพาะตอบโจทย์ความต้องการของผู้ใช้ โดยที่ข้อกำหนดหรือมาตรฐานต่างๆจะเป็นเรื่องรอง แต่เมื่อเป็น Lynis Enterprise ก็มีการร้องขอเกี่ยวกับข้อกำหนดและมาตรฐานต่างๆมากขึ้น” — Michael Boelen ผู้ก่อตั้งบริษัทด้านความปลอดภัย CISOfy

อ่านรายงานฉบับเต็มได้ที่: http://go.coverity.com/register-for-scan-report-2014.html

ที่มา: http://news.synopsys.com/2015-07-29-Coverity-Scan-Open-Source-Report-Shows-Commercial-Code-Is-More-Compliant-to-Security-Standards-than-Open-Source-Code


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

AWS เปิดให้บริการ Amazon Braket สำหรับเรียนรู้ Quantum Computing

AWS ผู้ให้บริการ Public Cloud ชื่อดัง ประกาศเปิดให้บริการ Amazon Braket สำหรับให้เหล่านักวิทยาศาสตร์ นักวิจัย และนักพัฒนาสามารถเริ่มศึกษาการใช้ Quantum Computing จากผู้ให้บริการชั้นนำหลากหลายราย ไม่ว่าจะเป็น …

Gartner ออก Magic Quadrant ด้าน SD-WAN ผล VMware, Silver Peak ครองผู้นำ

Gartner บริษัทวิจัยและที่ปรึกษาชื่อดังจากสหรัฐฯ ออกรายงาน Magic Quadrant ทางด้าน WAN Edge Infrastructure หรือที่รู้จักกันในนามโซลูชัน SD-WAN ฉบับล่าสุดประจำปี 2019 ผลปรากฏว่า VMware …