Coverity, de maker van de bekende software voor statische codeanalyse, heeft zijn jaarlijkse rapport gepubliceerd. Het Coverity Scan 2012 Open Source Report is gebaseerd op een analyse van maar liefst 450 miljoen regels code (waarvan 68 miljoen regels open source) door Coverity Scan. Het bedrijf analyseert niet alleen de code van populaire open source-projecten op (beveiligings) fouten, maar heeft ook heel wat klanten met propriëtaire code, dus is het in een goede positie om uitspraken te doen over de verschillen. En wat blijkt? De kwaliteit van code in beide categorieën is zo goed als hetzelfde: de foutendichtheid (het aantal fouten per duizend regels code) bedraagt 0,69 bij open source-projecten die Coverity Scan gebruiken en 0,68 bij propriëtaire klanten van Coverity. De industriestandaard voor kwalitatieve software is volgens het bedrijf één fout per duizend regels code. Opvallend is wel dat de kwaliteit bij beide categorieën software verschilt zodra het om grote projecten gaat. Bij propriëtaire projecten ligt de foutendichtheid gemiddeld op 0,98 bij codebases tussen een half miljoen en een miljoen regels code. Voor grotere projecten daalt die foutendichtheid tot 0,66. Grote propriëtaire projecten blijken dus van betere kwaliteit te zijn. Bij open source-projecten zien we juist iets heel anders: de projecten van een half miljoen tot een miljoen regels code hebben gemiddeld een foutendichtheid van 0,44, terwijl dat getal bij de grotere projecten stijgt tot 0,75. Ergens loopt daar dus iets organisatorisch mis zodra een open source-project te veel groeit. Coverity noemt de Linux-kernel echter een voorbeeldproject; de foutendichtheid in de 7,4 miljoen regels code bedraagt 0,66. Open source-ontwikkelaars maken overigens steeds meer actief gebruik van Coverity Scan. Ze fiksten in 2012 meer dan 21 duizend fouten die door Coverity’s tool waren gevonden, wat meer is dan het aantal fouten van de vier voorgaande jaren tezamen. Eind 2012 waren er 169 actieve projecten, en meer en meer kleine projecten (minder dan honderdduizend regels code) maken gebruik van de tool. In maart 2013 werd de dienst bovendien ook opengesteld voor Java-code, terwijl eerder enkel C en C++ ondersteund waren. In het rapport interviewt Coverity ontwikkelaars van AMANDA, ffmpeg, Mesa, NTP en XBMC, allemaal gebruikers van Coverity Scan.

www.coverity.com