Acquéreur de Coverity, fournisseur de logiciels de test et d’analyse statique, l’éditeur américain Synopsys publie l’édition 2014 du Coverity Scan Open Source Report. Le rapport s’appuie sur l’analyse de 10 milliards de lignes de code, dont celles de projets propriétaires anonymes et de plus de 2500 projets Open Source écrits en C/C++, en C# et en Java. Cette année, outre la qualité du code, la conformité du code avec les standards et référentiels de sécurité OWASP et CWE a été étudiée.
Selon Coverity, le code des logiciels propriétaires est davantage conforme aux référentiels OWASP Top 10 (Open Web Application Security Project) et CWE-25 (Common Weakness Enumeration) que le code Open Source. En revanche, comme lors de l’édition précédente du rapport, la qualité du code des logiciels Open Source est supérieure à celle des logiciels propriétaires. À l’appui, les auteurs du rapport indiquent : « les deux sortes de logiciels mettent en moyenne 6 mois pour corriger un problème, mais nous avons constaté que les logiciels propriétaires sont un peu plus rapides pour résoudre les failles de sécurité ».
L’an dernier, le nombre de défauts pour 1000 lignes de code était en moyenne de 0,61 (contre 0,66 en 2013) pour les projets Open Source scrutés par le service Coverity Scan. Et de 0,76 (contre 0,77 en 2013) pour le code des logiciels propriétaires étudiés. Par ailleurs, depuis la découverte de la faille de sécurité Heartbleed par Codenomicon (dont Synopsys a fait l’acquisition), la bibliothèque de chiffrement OpenSSL aurait fixé 302 défauts trouvés par Coverity Scan, et sa densité de défaut plafonne désormais à 0,21. Autre enseignement, en 2014, plus de 500 défauts à fort impact, dont des fuites et corruptions de mémoire, ont été trouvés par Coverity Scan et corrigés dans Linux.
Enfin, dans l’ensemble, la qualité et la sécurité des logiciels s’améliorent.
Lire aussi :
Nouvelles mises à jour de sécurité pour OpenSSL
Logiciels Open Source : une adoption soutenue, une gestion réduite
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…