Nach Ergebnissen des Coverity Scan Reports würden kommerzielle und quelloffene Programme für ihre Fehlerfreiheit eine glatte 1 bekommen. Open-Source-Produkte schneiden vergleichsweise besser ab.

Von Ludger Schmitz*

Rund zehn Milliarden Codezeilen haben für den 2014er Report eine Analyse mit Coverity Scan Service und der Synopsys Coverity Testing Platform durchlaufen. So viel waren es noch nie. Die Analyse umfasst mehr als 2500 mit C und C++ arbeitende Open-Source-Projekte sowie kommerzielle Produkte. Hinzu kamen die Ergebnisse von Open-Source-Programmen in Java und C#, die seit März 2013 Bestandteil des Reports sind.

Gegenüber dem Report von 2013 ist eine Verbesserung der Fehlerdichte festzustellen. Bei Open-Source-Programmen hat sich die im Durchschnitt von von 0,66 auf 0,61 Fehler je 1000 Codezeilen verbessert. Kommerzielle Produkte kommen auf eine Quote von 0,77 (2013: 0,76). Alles unter einer Fehlerdichte von 1,0 darf laut Coverity Scan als sehr gut (Note 1) gelten.

Coverits Scan ist ein Service, den das US-Ministerium für Homeland Security 2006 ins Leben gerufen hat, um die Qualität und Sicherheit von Open-Source-Software zu beurteilen. Das Projekt Coverrity verwaltet den kostenlosen Scan-Service. Als Partner stellen die Firmen Synopsys und Semicondutor IP Testumgebungen zur Verfügung
In bisher neun Jahren hat Coverity Scan mehr als 5100 Open-Source-Produkte getestet

Linux unterliegt regelmäßigen Analysen, wobei das Projekt 2014 rund 500 kritische Fehler finden und beseitigen konnte. Weitere analysierte Programme sind unter anderem aus dem C/C++-Bereich FreeBSD, LibreOffice, Python, PostgreSQL, Firefox und NetBSD sowie die Java-Projekte Apache, Hadoop, Hbase, Tomcat, Cloudstack und Cassandra. Coverity Scan hat seit 2006 dabei geholfen, mehr als 240.000 Softwarefehler zu entdecken und zu beheben.

Weil die Community die Analysen inzwischen sehr schätzt, nimmt die Zahl der Test rapide zu – und entsprechend wurden allein im vergangen Jahr 152.000 Fehler identifiziert. Der wohl bekannteste Fall ist der Heartbleed-Fehler in OpenSSL. Zur seiner Behebung und zur Entdeckung potenzieller Schwachstellen kam Coverity Scan zum Einsatz. Tatsächlich ließen sich 302 Fehler finden und beheben. OpenSSL hat aktuell laut Coverity eine Quote von 0,21 Fehlern je 1000 Codezeilen.

*Ludger Schmitz ist freiberuflicher Journalist in Kelheim.