Le code des logiciels propriétaires plus conforme que l’Open Source

Le code des logiciels propriétaires serait davantage conforme aux référentiels de sécurité OWASP Top 10 et CWE-25. Mais le code Open Source est de qualité supérieure.

Acquéreur de Coverity, fournisseur de logiciels de test et d’analyse statique, l’éditeur américain Synopsys publie l’édition 2014 du Coverity Scan Open Source Report. Le rapport s’appuie sur l’analyse de 10 milliards de lignes de code, dont celles de projets propriétaires anonymes et de plus de 2500 projets Open Source écrits en C/C++, en C# et en Java. Cette année, outre la qualité du code, la conformité du code avec les standards et référentiels de sécurité OWASP et CWE a été étudiée.

Logiciels propriétaires et Open Source progressent

Selon Coverity, le code des logiciels propriétaires est davantage conforme aux référentiels OWASP Top 10 (Open Web Application Security Project) et CWE-25 (Common Weakness Enumeration) que le code Open Source. En revanche, comme lors de l’édition précédente du rapport, la qualité du code des logiciels Open Source est supérieure à celle des logiciels propriétaires. À l’appui, les auteurs du rapport indiquent : « les deux sortes de logiciels mettent en moyenne 6 mois pour corriger un problème, mais nous avons constaté que les logiciels propriétaires sont un peu plus rapides pour résoudre les failles de sécurité ».

L’an dernier, le nombre de défauts pour 1000 lignes de code était en moyenne de 0,61 (contre 0,66 en 2013) pour les projets Open Source scrutés par le service Coverity Scan. Et de 0,76 (contre 0,77 en 2013) pour le code des logiciels propriétaires étudiés. Par ailleurs, depuis la découverte de la faille de sécurité Heartbleed par Codenomicon (dont Synopsys a fait l’acquisition), la bibliothèque de chiffrement OpenSSL aurait fixé 302 défauts trouvés par Coverity Scan, et sa densité de défaut plafonne désormais à 0,21. Autre enseignement, en 2014, plus de 500 défauts à fort impact, dont des fuites et corruptions de mémoire, ont été trouvés par Coverity Scan et corrigés dans Linux.

Enfin, dans l’ensemble, la qualité et la sécurité des logiciels s’améliorent.

Lire aussi :
Nouvelles mises à jour de sécurité pour OpenSSL
Logiciels Open Source : une adoption soutenue, une gestion réduite

crédit photo © McIek / Shutterstock