Alfonso Maruccia

Codice open batte codice closed

Un nuovo rapporto sostiene che, in quanto a qualità del codice, il software open e quello proprietario siano quantomeno alla pari. Anzi, quello open conterrebbe leggermente meno difetti

Roma - Coverity ha rilasciato il suo nuovo rapporto sulla qualità del codice sorgente afferente a software open source o proprietario, evidenziando come i difetti e i bachi riscontrabili da un'analisi automatizzata siano leggermente inferiori per i progetti FOSS. Almeno a parità di dimensioni del codice sorgente.

Nato da una partnership tra Coverity e il Department of Homeland Security (DHS) statunitense, il progetto di scansione del codice sorgente è ora al suo quinto anno di attività: la società ha analizzato più di 37 milioni di linee di codice open mettendole a confronto con ben 300 milioni di linee di codice proprietario fornito a Coverity da clienti la cui identità non è stata divulgata.

Il risultato dello studio? La media dei progetti software "closed" misura 7,5 milioni di linee di codice, e la densità di errori individuati dalla scansione di Coverity è di 0,64. La media dei progetti open, invece, è 832mila linee di codice con una densità di bug pari a 0,45.
Quando i progetti closed e open sono di dimensioni comparabili, dice ancora lo studio, la densità di difetti è sostanzialmente uguale - con un leggero vantaggio per quei software open particolarmente popolari (e dunque soggetti a un maggior grado di scrutinio pubblico) come Linux 2.6 (densità di bug di 0.62).

"La linea di confine tra il software open source e proprietario continuerà a offuscarsi col passare del tempo - ha commentato il direttore del progetto Scan per Coverity - parimenti alla cementificazione dell'open source nella moderna catena di fornitura del software".

Alfonso Maruccia
Notizie collegate
  • SicurezzaCoverity scova i bug dei software openIn seno ad un progettone finanziato dal Governo USA, la società Coverity sta analizzando decine di software open source alla ricerca dei difetti di programmazione più insidiosi e pericolosi per la sicurezza
178 Commenti alla Notizia Codice open batte codice closed
Ordina
  • 1. statistica del cavolo
    2. chi lavora gratis? ma chi? i programmatori linux? non mi pare proprio
    3. open meglio di closed? capirai che novità! è logico che un software open con tanta gente che può guardarlo, migliorarlo, criticarlo, debuggarlo è asintoticamente migliore di un accrocchio closed
    non+autenticato
  • - Scritto da: collione
    > 3. open meglio di closed? capirai che novità! è
    > logico che un software open con tanta gente che
    > può guardarlo, migliorarlo, criticarlo,
    > debuggarlo è asintoticamente migliore di un
    > accrocchio closed

    Ma anche no.
    Vedasi CUDA vs OpenCL
    non+autenticato
  • - Scritto da: collione
    > 1. statistica del cavolo
    > 2. chi lavora gratis? ma chi? i programmatori
    > linux? non mi pare
    > proprio
    > 3. open meglio di closed? capirai che novità! è
    > logico che un software open con tanta gente che
    > può guardarlo, migliorarlo, criticarlo,
    > debuggarlo è asintoticamente migliore di un
    > accrocchio
    > closed

    Ma anche no.
    Vedasi VMWare vs VirtualBox.
    non+autenticato
  • A parte che dovresti specificare QUALE VMware paragoni a VBox...

    Se paragoni Fusion, sei fuori strada...sono giocattoli entrambi.

    Se paragoni Workstation o VMWare Server...beh, sono prodotti diversi per target diversi. Questi ultimi che ti ho citato sono per ambienti enterprise. VBox è un giocattolo per usi domestici.

    Questi li devi mettere a paragone con Xen e KVM..
    Darwin
    5126
  • Come al solito, senza offesa per Mr Suscettibilità, i suoi articoli non dicono nulla e fanno capire ancora meno.
    Che tipo di analisi è stata fatta? Immagino che si tratti di analisi statica, insomma i vari lint / valgrind, perché i test di altro tipo comportano troppi problemi e non possono essere fatti senza una profonda conoscenza del software in questione. Ma l'analisi statica non può rilevare errori nella logica, ma soltanto possibili (non sicuri) buffer overflow, type mismatch e cose simili.
    Senza nulla togliere all'analisi statica, senza effettuare i test (unit test, integration test e system test) non si può farsi un'idea sul numero di bug, neanche vaga e approssimativa. A cosa diavolo ti può mai servire sapere che 500 righe di codice passano l'analisi statica senza warning, se poi la parte di codice che le chiama passa dei parametri sbagliati e sbaglia a interpretare l'output?? Chi effettua questi test può avere tutto il know-how che vuole, ma non ha un briciolo di professionalità.

    Altra mancanza dell'articolo è non specificare se nell'analisi di Linux sono compresi i driver. Quasi sicuramente è così, ma in questo caso l'analisi è ridicola: buona parte di quei bug sono array di dati binari, cioè i driver sono stati precompilati dai produttori e inseriti in Linux senza il codice sorgente. Aggiungiamo che il 60% dei bug di qualsiasi sistema operativo sono in realtà bug dei driver, o scopriremo che questo fantastico studio serve solo a produrre nuova carta igienica.

    Detto questo, il risultato che hanno ottenuto non è altro che la scoperta dell'acqua calda. E' evidente che quando il codice sorgente è disponibile a tutti, se il processo di sviluppo è veramente aperto (lo preciso perché a volte finge di essere aperto ma non lo è), molte aziende contribuiscono al fixing dei bug. Inoltre è evidente che chi rende pubblico un codice, se non vuole fare una magra figura, deve effettuare un po' di testing e pulizia: se io rendessi pubblico il sorgente di un software fatto male, l'unico risultato sarebbe quello di essere additato come pagliaccio.

    Non ci vuole un genio per capirlo.
    non+autenticato
  • - Scritto da: uno nessuno
    > A cosa diavolo ti può mai servire sapere che 500 righe
    > di codice passano l'analisi statica senza
    > warning, se poi la parte di codice che le chiama
    > passa dei parametri sbagliati e sbaglia a
    > interpretare l'output??

    E' la stessa cosa che mi sono chiesto io.
    Potresti scrivere 2000 righe di codice sintatticamente/stilisticamente/statisticamente corretto ed avere in mano un carciofo.
    Boh, probabilmente usano anche altri parametri....
    non+autenticato
  • Ne dubito seriamente. I test del codice in esecuzione è troppo complesso, se non conosci il software.
    E l'analisi statica può trovare possibili bug di un certo tipo, ma non sa niente della logica del programma. I numeri forniti non significano nulla: non abbiamo idea se un bug viene eseguito continuamente, o se è in una parte del codice irraggiungibile... è veramente uno studio ridicolo.

    Ci vorrebbero dei giornalisti che sanno quello che scrivono, invece di copiare i comunicati stampa come dei pappagalli telematici.
    non+autenticato
  • - Scritto da: uno nessuno
    > Ne dubito seriamente. I test del codice in
    > esecuzione è troppo complesso, se non conosci il
    > software.
    > E l'analisi statica può trovare possibili bug di
    > un certo tipo, ma non sa niente della logica del
    > programma. I numeri forniti non significano
    > nulla: non abbiamo idea se un bug viene eseguito
    > continuamente, o se è in una parte del codice
    > irraggiungibile... è veramente uno studio
    > ridicolo.
    >
    > Ci vorrebbero dei giornalisti che sanno quello
    > che scrivono, invece di copiare i comunicati
    > stampa come dei pappagalli
    > telematici

    Beh, è un articolo di Maruccia.

    Clicca per vedere le dimensioni originali
    non+autenticato
  • Licenziarlo no?...
    non+autenticato
  • - Scritto da: uno nessuno
    > Licenziarlo no?...

    Io sarei per tre giri di chiglia.
    non+autenticato
  • in realtà l'articolo serviva a scatenare un paio di flames...
  • - Scritto da: shevathas
    > in realtà l'articolo serviva a scatenare un paio
    > di
    > flames...

    Questi una volta si facevano di venerdì, cosi c'era tutto il finesettimana per cazzeggiare. Poi in caso di weekend con pioggia, Alleluia....
  • - Scritto da: pippo75
    > - Scritto da: shevathas
    > > in realtà l'articolo serviva a scatenare un
    > paio
    > > di
    > > flames...
    >
    > Questi una volta si facevano di venerdì, cosi
    > c'era tutto il finesettimana per cazzeggiare. Poi
    > in caso di weekend con pioggia,
    > Alleluia....

    ROTFL Rotola dal ridere
  • - Scritto da: Free Software Foundation
    > Free Software Foundation
    > https://www.fsf.org

    Ma cosa sei, un undicenne che ha appena scoperto Linux e/o l'Open Source? Che senso ha fare promozione qui a un link ad un sito stra-conosciuto come quello?
    non+autenticato
  • Grazie.

    Mi spiegate il senso della ricerca?
    Cercano i bug a metro?

    In base a qualche riga di codice decidono che tutto deve essere cosi, come analisi mi la scia qualche dubbio.

    Le scansioni come le hanno fatte? hanno un programma che cerca errori? che tipo di errori?

    Qualcosa mi sfugge dalla analisi o dall'articolo.
  • - Scritto da: pippo75

    > Le scansioni come le hanno fatte? hanno un
    > programma che cerca errori? che tipo di
    > errori?
    >
    > Qualcosa mi sfugge dalla analisi o dall'articolo.

    È quello che mi chiedo anch'io... Hanno un software in grado di individuare i bug nel codice sorgente? Ma dai... e da dove salta fuori? E perché non lo usano per ricerche più serie?
    non+autenticato
  • Giusto.
    Ma mi chiedo anche perché non lo usano tutti i programmatori e le aziende?

    Ma si che lo usano. Solo quelli trovati non sono bug, sono undocumented features e backdoor...Sorride
    iRoby
    9147
  • - Scritto da: pignolo
    > - Scritto da: pippo75
    > È quello che mi chiedo anch'io... Hanno un
    > software in grado di individuare i bug nel codice
    > sorgente? Ma dai... e da dove salta fuori?

    Da sempre esistono software per individuare cattive pratiche di programmazione, che potrebbero essere bug oppure no, ma sono comunque cose brutte da correggere.
    Ma questo studio è stupido, come ho già scritto.
    non+autenticato
  • >
    > È quello che mi chiedo anch'io... Hanno un
    > software in grado di individuare i bug nel codice
    > sorgente? Ma dai... e da dove salta fuori? E
    > perché non lo usano per ricerche più
    > serie?

    e se esistesse e fosse affidabile, quante ditte andrebbero a coprirli di oro argento e di escort per averlo pure loro.
  • La differenza di linee di codice dipende in parte dal fatto che i software commerciali ci mettono la qualunque dentro per venderli. Per es Windows ha un sacco di funzinoi legacy ed esotiche che magari usano in 10000 persone in tutto il mondo. Il sw libero quando c'e qualcosa di nuovo butta via il vecchio e gli utenit si arrangino.

    A parita di "scopo di business" (non di funzionalita) meglio avere poche righe di codice IMHO.

    Poi ovviamente esistono buoni prodotto open e buoni a pagamento, e pessimi open e pessimi a pagamento.

    Rimane vero che in italia i famosi analisti power point, project maneger e manger spesso non hanno alcune idea della tecnologia che c'e sotto e navigano a vista. Tanto e vero che multinazionali che vendono sw in italia ce ne sono poche e ben nascosteSorride

    Per gli sitpendi dico solo che in Francia con 3 anni di esperienza guadagno dal 50% al 100% in piu di quello che guadagnavo in Italia. Per 500 euro al mese meglio starsene a casa o andare a fare l'operaio, o andare al lavoro e guardarsi i mangaA bocca aperta Cmq la colap degli stipendi bassi e in aprte colpa di chi si svende per due lire.
    non+autenticato
  • stai in francia in mezzo alle baguette e alle modelle allora e non ci scassare le palle. NON SEI PIU' ITALIANO CARO MIO
    non+autenticato
  • - Scritto da: paolo
    > stai in francia in mezzo alle baguette e alle
    > modelle allora e non ci scassare le palle. NON
    > SEI PIU' ITALIANO CARO
    > MIO

    Ma quanto rosichi? Rotola dal ridere
    non+autenticato
  • I veri intenditori come te preferiscono l'autentico sfilatino italiano.
    non+autenticato
  • - Scritto da: pollolo
    >
    > Poi ovviamente esistono buoni prodotto open e
    > buoni a pagamento, e pessimi open e pessimi a
    > pagamento.

    Come distruggere decine di post in due righe ragionevoli...
    non+autenticato
  • Gli stipendi non dipendono dallo svendersi della gente. Perché dove c'è crisi molti saranno costretti a svendersi loro malgrado.

    Ma posso garantirti che gli stipendi stanno scendendo per volere delle aziende a livellare sempre più verso il basso per accrescere i profitti.

    Troppo facile accrescere i profitti e cercare competitività a discapito dei lavoratori.

    Ho visto tutte le analisi questo Week-end al meeting di Rimini sulla MMT (Modern Money Theory) dove sono venuti i 5 più grandi economisti di questo pianeta.
    iRoby
    9147
  • > Ho visto tutte le analisi questo Week-end al
    > meeting di Rimini sulla MMT (Modern Money Theory)
    > dove sono venuti i 5 più grandi economisti di
    > questo
    > pianeta.

    Per la precisione non sono i 5 piu grandi economisti del pianeta
    (non è una gara)
    Erano degli affermati economisti post keynesiani
    non+autenticato
  • Per me sono i più grandi, come per qualcun'altro è grandissimo il cantante Apicella.

    Comunque è stato un evento unico e spero venga fuori qualcosa.

    Adesso abbiamo la teoria, ci manca solo la pratica... Per imparare come rovesciare questo governo, ripendere il controllo di Bankitalia e riavviare le rotative della Nuova Lira.
    iRoby
    9147
  • Perchè si insiste a considerare un economista Keynes, che non sapeva distinguere tra il valore e la moneta circolante? La sua favoletta sulle buche è il motivo per cui certa gente è convinta di fare del bene con la TAV o con opere fantasiose come il Mose. Curiosamente però, quando si esce dall'argomento "appalti", sembra che le loro idee diventino l'estremo opposto rispetto a Keynes...
    Allora, decidiamoci: o ci piace (ma questo implica averlo letto), o non ci piace; la via di mezzo "mi piace quando mi fa comodo" è addirittura più dannosa che seguire Keynes in modo coerente.
    non+autenticato
  • intanto Keynes ci fece uscire dalla crisi del '29, i neoliberisti invece ci stanno scavando la fossa con le loro ("nostre") lacrime e sangue
    non+autenticato
  • Mi e capitato di parlare con gente che di fronte alla possibilita di avere lo stipendio aumentato del 10 20% piuttosto preferisce rimanere dove sta, pur percependo un compenso non alto (diciamo appena sufficiente a fare una vita dignitosa). Magari lo fa solo per insicurezza, o perche continuano a chiedegli piu di quello che riesce a fare e si sente inadeguato, quindi ha paura di quello che potrebbe venire. Vabbe non voglio fare il parapsicologo. E' anche vero che c'e gente che sa di non sapere e allora preferisce tenersi stretto il posto fisso dove non si fa un c.

    Insomma i motivi per accontentarsi ingustamente possono essere tanti. Ma con questo non voglio dire che non esista una pressione enorme da parte di "poteri occulti" o quello che e, che sanno che i poveri impiegati vanno spremuti il piu possible senza manco bisogno di fare gli incontri segreti per metteri d'accordo. Basta leggere certi rapporti delle societa di conulenza strategica, o seguire i corsi di certe universita...
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)