La chasse aux bugs dans les applications libres est efficace
Vite fait, bien fait ! Près de 900 bugs ont été réparés en seulement deux semaines après que Coverity, le groupe qui produit les outils d'analyse du code source, a annoncé les résultats préliminaires de son premier scan sur près de 32 projets open source. À l'heure où nous parlons, certaines applications sont totalement déboguées.
Dans un communiqué, Ben Chelf, le chef technologique de Coverity s'explique : « Mon sentiment, c'est que la communauté open source est très efficace et rapide dans la production de mises à jour ». Cette chasse aux bugs dans les applications open source, fait partie d'un programme de trois ans nommé « Open Source Hardening Project », qui a pour objectif de mieux sécuriser les logiciels libres. En janvier, le département de la sécurité des Etats-Unis a apporté une aide de 1,24 million de dollars à l'université de Stanford, Coverity et Symantec, les trois porteurs du projet. Lors de sa première analyse du 6 mars 2006, Coverity a scanné plus de 17,5 millions de lignes de code parmi 32 projets open-source. À l'époque, une moyenne de 0,434 bugs pour 1.000 lignes de codes avait été établie. À la suite de cette publication, en seulement une semaine, 200 développeurs se sont enregistrés pour accéder à cette base de données (la liste des bugs). Depuis des membres actifs des projets Samba, Amanda ou encore XMMS ont rejoint le projet. D'après Coverity, les plus actifs sont les membres de la communauté du projet Samba. Entre le 6 mars et le début du mois d'avril, le nombre de bugs est passé de 216 à 18 en une semaine et à zéro en deux semaines. Amanda, un outil de sauvegarde, avait selon les premières analyses de Coverity le nombre le plus important de bugs (1.237). En l'espace de deux semaines, sa communauté en a éradiqué près de 108. Le lecteur audio XMMS était le moins compromis avec une moyenne de 0,051 problème pour 1.000 lignes de code. Au total six failles ont été réparées. À noter, Stanford et Coverity ont construit un système qui effectue désormais des scans quotidiens. La base de données qui en résulte est en libre accès pour les programmeurs.
Sur le même thème
Voir tous les articles Cybersécurité