假设软件最终将占领整个世界,那开源代码一定是整场战役的灵魂与核心。当前环境下,我们对开源代码和Coverity检测服务(Coverity Scan Service)的接受程度已经达到了一个前所未有的高度。超过1,500个项目正在使用Coverity 的代码检测服务,所有人都能够非常清晰的看到这些项目提高了整个软件行业的代码质量。近50,000个缺陷在2013年被Coverity的扫描代码检测服务修复。由于代码检测服务已经成为非常流行的需求,Coverity允许任何人注册并成为项目观察者(Project Observer),跟踪自己喜欢的开源项目质量状态。
4月15日,我们发布了2013年度代码检测报告-Coverity Scan Report 2013,目前该报告已经成为国家级的软件质量事实标准。在本报告中包含我们检测的7亿5千万行代码,包括开源和商业的C/C++代码和前50名的热门Java项目(包括世界上最引人瞩目的大数据项目)。
总结2013年度代码检测报告的关键点:
• 史上第一次,开源代码的质量超过商业代码。开源代码的平均缺陷密度为0.59,低于商业代码的平均缺陷密度0.72。部分原因可能是Scan服务参与人员承诺将修复找到的缺陷。总而言之,所有的项目在2013年修复了近50,000个缺陷。
• Linux 仍旧在创造新记录:通过使用Coverity的代码检测服务,Linux项目组将新缺陷的平均修复时间从122天缩短到了短短6天。通过对最新缺陷的关注,Linux项目组能够有效定位代码中存在的巨大风险。
这是我们第一次包含Java项目的分析结果。我们也看到了Java开发者和C/C++开发者之间有趣的一些差别:
• Java开发在资源泄露(Resource Leak)这个问题上,可能有一些安全错觉。Java开发者只会修复13%的资源泄露缺陷,而C/C++开发者将修复46%。这可能表明Java开发者过于依赖垃圾收集机制。而垃圾回收机制是不可预知的,也不能定位系统级别的资源(如函数和文件)。
• 空指针/对象引用(Null Pointer Dereferences)是Java开发者修复比例最高的缺陷。与此同时C/C++开发人员修复最多的缺陷是资源泄露。
• 报告中同样包含了Apache Hadoop、HBase、Cassandra和CloudStack。您可以了解这些项目中发现和修复的缺陷类型。
这是Coverity Scan服务非常令人振奋的一年,我们感谢所有的服务参与者和广大开源社区对我们的关心和支持。
下载2013年度代码检测报告
查看代码检测服务下的开源项目
注册Coverity代码检测服务,分析你的C/C++/Java开源项目
原文地址:Hot Off the Presses: Coverity Scan Report 2013, 作者: Kristin Brennan
The post Coverity发布2013年度代码检测报告 appeared first on Software Testing Blog.
