Alfonso Maruccia

Sicurezza, codice FOSS batte codice proprietario

Il nuovo rapporto Coverity rileva che il codice sorgente dei progetti open source fa meglio, in quanto a numero di bug, del codice adottato dal software proprietario

Sicurezza, codice FOSS batte codice proprietarioRoma - Coverity ha rilasciato l'edizione 2013 del suo celebre rapporto sulla qualità del codice sorgente, sfida che si gioca tra i software creati nell'ambito della community open source e quelli proprietari realizzati da aziende o sviluppatori individuali.

Prendendo in esame oltre 750 milioni di linee di codice di software FOSS e proprietario scritto in C/C++ (oltre ai 50 progetti Java più attivi), l'edizione 2013 del Coverity Scan Report ha prima di tutto rilevato che i progetti open source hanno una densità di difetti media di 0,59 bug per 1.000 linee di codice contro lo 0,72 dei software proprietari.

Nel 2013, suggerisce il rapporto Coverity, il software open ha battuto quello closed in quanto a errori nella programmazione e non solo - come fu rilevato lo scorso anno - nei listati inferiori al milione di linee.
Nell'ambito del mondo FOSS, Linux continua a rappresentare lo "standard" in quanto a sicurezza passando da 122 a 6 giorni per il tempo necessario a chiudere un baco scoperto tramite i prodotti Coverity.

E Java, per la prima volta analizzato dal report? I programmatori che fanno uso della popolare Virtual Machine di Oracle (ex-Sun) sarebbero caratterizzati da un falso senso di sicurezza, sostiene Coverity, visto che solo il 13 per cento dei bug di "resource leak" noti vengono corretti dagli sviluppatori, contro il 46 per cento del software nativo in C/C++.

Alfonso Maruccia
Notizie collegate
  • TecnologiaOpen source, qualità fino a 1 milione di lineeL'ultimo rapporto Coverity sulla qualità del codice sorgente riserva sorprese: il software open di piccole/medie dimensioni è migliore di quello closed, mentre oltre il milione di linee vale il contrario. Linux? Un punto di riferimento
  • TecnologiaCodice open batte codice closedUn nuovo rapporto sostiene che, in quanto a qualità del codice, il software open e quello proprietario siano quantomeno alla pari. Anzi, quello open conterrebbe leggermente meno difetti
  • SicurezzaINsicurezze/ L'insostenibile leggerezza del softwaredi C. Giustozzi - La scoperta di Heartbleed, uno dei bug più potenzialmente devastanti della storia, suscita riflessioni non solo sulla vulnerabilità dei sistemi. Ma anche sui modelli di sviluppo del software "mission critical"
91 Commenti alla Notizia Sicurezza, codice FOSS batte codice proprietario
Ordina
  • Cosa dicevo a proposito dei fork?

    "Our group removed half of the OpenSSL source tree in a week. It was discarded leftovers," de Raadt told Ars in an e-mail. "The Open Source model depends [on] people being able to read the code. It depends on clarity. That is not a clear code base, because their community does not appear to care about clarity. Obviously, when such cruft builds up, there is a cultural gap. I did not make this decision... in our larger development group, it made itself."

    http://www.libressl.org/
    FDG
    10893
  • boh, non me lo ricordo cosa dicevi, ma i mantainer di openssl non sono collaborativi, ergo un fork ci voleva per forza
    non+autenticato
  • A mio parere c'è un po' di confusione, vorrei provare a fare chiarezza per chi legge e commenta. Lo stesso autore dell'articolo forse non ha capito completamente il metodo usato da Code Coverity - e va aggiunto che loro stessi non si prodigano a spiegarlo...

    Code Coverity non conta i bug. Non esiste un modo (legale e pacifico) per estorcere a una multinazionale del software proprietario le informazioni sui bug dei suoi prodotti. E non esiste un modo (se non sono dei maghi) per scoprire i bug.

    Code Coverity usa un metodo chiamato analisi statica del codice. Esistono vari software in grado di fare questa analisi. Quello che cercano sono potenziali difetti nel codice. Ovvero: si accorgono che potrebbe esserci un bug di tipo buffer overflow, ma non è detto che sia vero. Anche se non è vero, è molto probabile che il programmatore non abbia usato le cosiddette buone pratiche (ma anche questo non è detto). Ma la maggior parte dei bug non può essere scoperta con questi metodi. Se così fosse i software non avrebbero bug, non vi pare?

    I numeri riportati non sono minimemente realistici, purtroppo. 1000 righe di codice hanno diversi bug, altro che mezzo bug o poco più! Ovviamente i bug vengono fuori col tempo. Anche dopo un po' di anni.

    Il software open source ha sempre meno bug del software proprietario? No. Dipende da molte cose, come la complessità del software, la capacità degli ingegneri e dei programmatori, quanto l'azienda investe nella qualità, e cosa si intende per bug (questo sembra banale, ma non lo è).

    Il software libero ha tendenzialmente meno bug? Beh, questo è ovvio e nessuno può negarlo. Il processo di sviluppo open favorisce la segnalazione dei bug e la loro correzione. I motivi sono così evidenti che non li spiego. Favorisce anche la qualità del codice: si sa che, prima di "aprire" un software proprietario, i programmatori dedicano qualche mese all'eliminazione delle brutture.

    Insomma, da una parte hanno scoperto l'acqua calda; dall'altra, pretendono di fornire dei dati oggettivi, ma i dati che forniscono non hanno nessun significato reale. Per dirla tutta, non ho ben capito lo scopo di Code Coverity.
    -----------------------------------------------------------
    Modificato dall' autore il 20 aprile 2014 04.15
    -----------------------------------------------------------
  • > Insomma, da una parte hanno scoperto l'acqua
    > calda; dall'altra, pretendono di fornire dei dati
    > oggettivi, ma i dati che forniscono non hanno
    > nessun significato reale. Per dirla tutta, non ho
    > ben capito lo scopo di Code
    > Coverity.

    Farsi pubblicità. Come tutti quelli che sparano cifre a casaccio che in quel momento possono interessare la stampa generalista, e non parlo solo di ambito informatico.
  • - Scritto da: Federico Razzoli
    > Insomma, da una parte hanno scoperto l'acqua
    > calda; dall'altra, pretendono di fornire dei dati
    > oggettivi, ma i dati che forniscono non hanno
    > nessun significato reale. Per dirla tutta, non ho
    > ben capito lo scopo di Code
    > Coverity.

    A me "rapporti" così fatti sembrano avere la stessa utilità della classifica annuale del Sole-24ore sulla "vivibilità dei capoluoghi italiani": se li si stampa, almeno servono ad incartare il pesce.

    Ed una prova indiretta è anche dal fatto che da un anno all'altro danno risultati molto diversi, in casi che presumibilmente dovrebbero vedere una viscosità della situazione molto maggiore.
    Ma se ogni anno "devi" pubblicare un rapporto, ovviamente scrivere "è quasi come l'anno scorso, con variazioni dello 0.6-0.9 per cento" nessuno "ti caga".
    Meglio scrivere che i rapporti sui bug rilevati si sono rovesciati o che Napoli, per esempio, in solo un anno ha guadagnato dieci posizioni sulla sicurezza urbana (poi ci vai a vedere e scopri che valutano così perchè quest'anno ci sono più poliziotti, dato che hanno dovuto militarizzare la città!, e perchè danno uguale peso al trend rispetto ai dati puntuali).
    non+autenticato
  • - Scritto da: specs
    > - Scritto da: Federico Razzoli
    > > Insomma, da una parte hanno scoperto l'acqua
    > > calda; dall'altra, pretendono di fornire dei
    > dati
    > > oggettivi, ma i dati che forniscono non hanno
    > > nessun significato reale. Per dirla tutta, non
    > ho
    > > ben capito lo scopo di Code
    > > Coverity.
    >
    > A me "rapporti" così fatti sembrano avere la
    > stessa utilità della classifica annuale del
    > Sole-24ore sulla "vivibilità dei capoluoghi
    > italiani": se li si stampa, almeno servono ad
    > incartare il
    > pesce.
    >
    > Ed una prova indiretta è anche dal fatto che da
    > un anno all'altro danno risultati molto diversi,
    > in casi che presumibilmente dovrebbero vedere una
    > viscosità della situazione molto
    > maggiore.
    > Ma se ogni anno "devi" pubblicare un rapporto,
    > ovviamente scrivere "è quasi come l'anno scorso,
    > con variazioni dello 0.6-0.9 per cento" nessuno
    > "ti
    > caga".
    > Meglio scrivere che i rapporti sui bug rilevati
    > si sono rovesciati o che Napoli, per esempio, in
    > solo un anno ha guadagnato dieci posizioni sulla
    > sicurezza urbana (poi ci vai a vedere e scopri
    > che valutano così perchè quest'anno ci sono più
    > poliziotti, dato che hanno dovuto militarizzare
    > la città!, e perchè danno uguale peso al trend
    > rispetto ai dati
    > puntuali).

    a napoli non si sta male, anzi è una città tutta da vivere. ma i pregiudizi sono duri a morire
    non+autenticato
  • - Scritto da: alphaX

    > a napoli non si sta male, anzi è una città tutta
    > da vivere. ma i pregiudizi sono duri a
    > morire

    Vero.. mica sparano ai pregiudizi Fantasma
  • non condivido il fatto che abbiano scoperto l'acqua calda, perchè il metro usato è lo stesso sia per il closed sia per l'open

    Coverity vende software per l'analisi statica del software, questo è assodato

    ma i falsi positivi possono esserci nell'analisi del codice open così come nell'analisi di quello closed, per cui staticamente il discorso fila

    in ogni caso, gli strumenti di Coverity misurano la capacità dei programmatori di scrivere codice corretto
    non+autenticato
  • Non è affatto vero che il software libero ha potenzialmente meno bug.
    I soldi investiti nel controllo di qualità e nel testing (oltre che in bravi programmatori) producono meno bug.
    IL SOFTWARE LIBERO E' POTENZIALMENTE PERICOLOSO perché come nel caso di hertbleed OpenSSL non sapeva (mancanza di fondi e donazioni) mentre I GOVERNI SAPEVANO (Cina, Usa, Urss, Corea) (per via dell'Open Source appunto e dei grossi investimenti IN SOLDI nell' ANALISI DEI SORGENTI A FINI DI ACQUISIRE UN VANTAGGIO IN TERMINI DI INTELLIGENCE.
    non+autenticato
  • ah si? e la valanga di exploit per vulnerabilità zero-day di windows, come la spieghi?

    a questo punto o ms non spende un centesimo per l'auditing, o collabora attivamente con la nsa
    non+autenticato
  • - Scritto da: collione
    > ah si? e la valanga di exploit per vulnerabilità
    > zero-day di windows, come la
    > spieghi?
    >
    > a questo punto o ms non spende un centesimo per
    > l'auditing, o collabora attivamente con la
    > nsa

    ma anche entrambe le cose eh
    non+autenticato
  • - Scritto da: Programmato re
    > Non è affatto vero che il software libero ha
    > potenzialmente meno
    > bug.
    > I soldi investiti nel controllo di qualità e nel
    > testing (oltre che in bravi programmatori)
    > producono meno
    > bug.
    > IL SOFTWARE LIBERO E' POTENZIALMENTE PERICOLOSO
    > perché come nel caso di hertbleed OpenSSL non
    > sapeva (mancanza di fondi e donazioni) mentre I
    > GOVERNI SAPEVANO (Cina, Usa, Urss, Corea) (per
    > via dell'Open Source appunto e dei grossi
    > investimenti IN SOLDI nell' ANALISI DEI SORGENTI
    > A FINI DI ACQUISIRE UN VANTAGGIO IN TERMINI DI
    > INTELLIGENCE.

    quindi i governi per fatto dell'intelligence anche se conoscono il problema non patchano i propri server perchè le analisi comprendono solo lo spiare la gente ma non porre rimedio ai bugs? ti rendi conto del mucchio di stronzate che hai scritto?
    non+autenticato
  • MA LOL !!!
    Te credo che fa meglio !
    I BUG DELL'OPEN NON LI SEGNALANO SE NON DOPO ANNI !!!!!
    non+autenticato
  • - Scritto da: Nome e Cognome
    > MA LOL !!!
    > Te credo che fa meglio !
    > I BUG DELL'OPEN NON LI SEGNALANO SE NON DOPO ANNI
    > !!!!!

    Avete idea di quanti bug devono ancora esserci nell'open di cui non si è ancora accorto nessuno se non chi li sfrutta per proprio interesse personale ?

    Figuriamoci un malintenzionato, studia il codice (che è open) trova un bug cosa fa ? lo segnala ??? MA LOL !!!
    non+autenticato
  • Perf non Parlare delle Bootnet di Server Linux
    come WINDIGO !!!


    - Scritto da: Pincco
    > - Scritto da: Nome e Cognome
    > > MA LOL !!!
    > > Te credo che fa meglio !
    > > I BUG DELL'OPEN NON LI SEGNALANO SE NON DOPO
    > ANNI
    > > !!!!!
    >
    > Avete idea di quanti bug devono ancora esserci
    > nell'open di cui non si è ancora accorto nessuno
    > se non chi li sfrutta per proprio interesse
    > personale
    > ?
    >
    > Figuriamoci un malintenzionato, studia il codice
    > (che è open) trova un bug cosa fa ? lo segnala
    > ??? MA LOL
    > !!!
    non+autenticato
  • Fossero solo i malintenzionati !!!

    Heartbleed: "L'Nsa sapeva del bug da almeno due anni". La falla di sicurezza sfruttata per spionaggio internazionale

    http://www.repubblica.it/tecnologia/2014/04/11/new.../
    non+autenticato
  • repubblica ? lol
  • Sicurezza, con Heartbleed il codice open rischia di scavarsi la... FOSS!

    Ah ah ah ah!!!
    Ah ah ah ah ah!!! Rotola dal ridere
    Ah ah ah ah ah ah!!! Rotola dal ridereRotola dal ridere
    Ah ah ah ah ah ah ah!!! Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    Ah ah ah ah ah ah ah ah!!! Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere


    :|
    non+autenticato
  • Tutte le civilta' chiuse si sono estinte mentre quelle piu' aperte si sono sviluppate, lo stesso sara' per il software : il closed si estinguera' mentre quello open si sviluppera', e' solo una questione di tempo.
    Grande puffo e' della mia stessa opinione.
    non+autenticato
  • è evidente che non sei uno sviluppatore, altrimenti sapresti che l'open sta veramente rimpiazzando il closed un pò dappertutto

    guarda i sistemi operativi, ormai non esistono più sistemi closed ( a parte 2 mainstream e qualche altro special purpose ), sono tutti open, moltissimi linux-based
    non+autenticato
  • Grande puffo e' saggio e lungimirante.
    non+autenticato
  • - Scritto da: Puffo inventore
    > Tutte le civilta' chiuse si sono estinte mentre
    > quelle piu' aperte si sono sviluppate, lo stesso
    > sara' per il software : il closed si estinguera'
    > mentre quello open si sviluppera', e' solo una
    > questione di
    > tempo.
    > Grande puffo e' della mia stessa opinione.

    il giappone è sempre stata una civiltà molto chiusa ed è ancora florida dopop millenni
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: Puffo inventore
    > > Tutte le civilta' chiuse si sono estinte mentre
    > > quelle piu' aperte si sono sviluppate, lo stesso
    > > sara' per il software : il closed si estinguera'
    > > mentre quello open si sviluppera', e' solo una
    > > questione di
    > > tempo.
    > > Grande puffo e' della mia stessa opinione.
    >
    > il giappone è sempre stata una civiltà molto
    > chiusa ed è ancora florida dopop
    > millenni

    se fosse vero sarebbero ancora nel loro medioevo
    non+autenticato
  • - Scritto da: medioevo
    > - Scritto da: ...
    > > - Scritto da: Puffo inventore
    > > > Tutte le civilta' chiuse si sono estinte
    > mentre
    > > > quelle piu' aperte si sono sviluppate, lo
    > stesso
    > > > sara' per il software : il closed si
    > estinguera'
    > > > mentre quello open si sviluppera', e' solo una
    > > > questione di
    > > > tempo.
    > > > Grande puffo e' della mia stessa opinione.
    > >
    > > il giappone è sempre stata una civiltà molto
    > > chiusa ed è ancora florida dopop
    > > millenni
    >
    > se fosse vero sarebbero ancora nel loro medioevo

    Socialmente è così.

    Studia.
    maxsix
    8871
  • Un paio di ciuffoloni! Guardano all'occidente alla grande su tutti i fenomeni culturali: dalla musica al cinema al cibo.

    Viaggia!
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 15 discussioni)