Pour gérer vos consentements :

Le code des logiciels propriétaires plus conforme que l’Open Source

Acquéreur de Coverity, fournisseur de logiciels de test et d’analyse statique, l’éditeur américain Synopsys publie l’édition 2014 du Coverity Scan Open Source Report. Le rapport s’appuie sur l’analyse de 10 milliards de lignes de code, dont celles de projets propriétaires anonymes et de plus de 2500 projets Open Source écrits en C/C++, en C# et en Java. Cette année, outre la qualité du code, la conformité du code avec les standards et référentiels de sécurité OWASP et CWE a été étudiée.

Logiciels propriétaires et Open Source progressent

Selon Coverity, le code des logiciels propriétaires est davantage conforme aux référentiels OWASP Top 10 (Open Web Application Security Project) et CWE-25 (Common Weakness Enumeration) que le code Open Source. En revanche, comme lors de l’édition précédente du rapport, la qualité du code des logiciels Open Source est supérieure à celle des logiciels propriétaires. À l’appui, les auteurs du rapport indiquent : « les deux sortes de logiciels mettent en moyenne 6 mois pour corriger un problème, mais nous avons constaté que les logiciels propriétaires sont un peu plus rapides pour résoudre les failles de sécurité ».

L’an dernier, le nombre de défauts pour 1000 lignes de code était en moyenne de 0,61 (contre 0,66 en 2013) pour les projets Open Source scrutés par le service Coverity Scan. Et de 0,76 (contre 0,77 en 2013) pour le code des logiciels propriétaires étudiés. Par ailleurs, depuis la découverte de la faille de sécurité Heartbleed par Codenomicon (dont Synopsys a fait l’acquisition), la bibliothèque de chiffrement OpenSSL aurait fixé 302 défauts trouvés par Coverity Scan, et sa densité de défaut plafonne désormais à 0,21. Autre enseignement, en 2014, plus de 500 défauts à fort impact, dont des fuites et corruptions de mémoire, ont été trouvés par Coverity Scan et corrigés dans Linux.

Enfin, dans l’ensemble, la qualité et la sécurité des logiciels s’améliorent.

Lire aussi :
Nouvelles mises à jour de sécurité pour OpenSSL
Logiciels Open Source : une adoption soutenue, une gestion réduite

crédit photo © McIek / Shutterstock

Recent Posts

Quels impacts de l’IA générative sur le monde de la cybersécurité ? : regards croisés entre Onepoint, Wavestone et Fortinet

Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…

3 heures ago

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

6 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

9 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

1 jour ago

Quelques chiffres pour contextualiser le premier livrable du comité de l’IA générative

Le comité de l'IA générative établi en septembre 2023 par le Gouvernement a formulé ses…

1 jour ago

Le DMA, cette entreprise de microgestion des Big Tech

L'UE multiplie les enquêtes et les procédures de non-conformité contre des entreprises soumises au DMA.

1 jour ago