La qualité du noyau Linux en question

Coverity est une entreprise d’ingénierie pour l’optimisation des logiciels créée par cinq chercheurs du

Stanford Computer Science. Ils ont repris à leur compte une étude menée par l’Université depuis 2000 sur le noyau de Linux 2.6. L’objectif de l’étude était d’analyser les 5,6 millions de lignes de code de la version de production du Linux Kernel 2.6. Une étude dont ils viennent de publier les derniers résultats et qu’ils comptent poursuivre dans les années à venir. Il en ressort que Coverity a découvert 985 bugs ! Ces bugs couvrent cinq domaines : crash ; programme incorrect ; dégradation de performance ; usage inadapté des APIs ; menace de sécurité. 627 de ces bugs sont jugés critiques : 569 entraînent des crash ; 25 surchargent la mémoire ; 33 dégradent les performances ; 100 concernent la sécurité. Alors ? Enoncé dans l’état, Linux paraît bien fragile ! Mais rapporté au volume du code, Linux Kernel 2.6 présente 0,17 bug par mille de lignes de code. Pour comparaison, le Cylab Sustainable Computing Consortium de l’Université Carnegie Mellon a évalué qu’un logiciel commercial contient typiquement entre 20 et 30 bugs pour mille lignes de code. Le très faible taux de bug que présente le noyau Linux vient donc démontrer une nouvelle fois la force et la sécurité du système Linux. Quant aux bugs détectés, la plupart des trous de sécurité rencontrés sur le logiciel peuvent être éliminés en adoptant de bons processus de programmation. Que faut-il penser de cette étude ? Elle vient confirmer la fiabilité et la sécurité de Linux. En revanche, elle ne peut être extraite de son contexte pour être comparée avec d’autres études qui viennent affirmer que les systèmes et applications propriétaires sont plus fiables ou mieux sécurisées. En effet, pour pouvoir réellement comparer, il serait nécessaire d’appliquer aux autres produits les mêmes processus de tests. Coverity vient donc confirmer l’intérêt de Linux, mais en aucun cas infirmer la valeur des autres logiciels. Mais c’est déjà ça !Un résumé de l’étude est disponible sur https://linuxbugs.coverity.com, son intégralité est réservée aux membres actifs de la communauté des développeurs du noyau Linux.