Estudio muestra código abierto de calidad Mejora de la calidad

El número total de defectos en proyectos de código abierto está disminuyendo, según un nuevo estudio del proveedor Coverity.

Coverity, fabricante de herramientas para analizar código de programación, recibió un contrato en 2006 del Departamento de Seguridad Nacional de EE. UU. ayuda a aumentar la calidad del software de código abierto, que las agencias del gobierno utilizan cada vez más.

El proveedor ha creado un sitio web a través del cual los desarrolladores y los proyectos de código abierto pueden enviar el código para su análisis. El vendedor asigna proyectos a una serie de "escalones" según cuántos defectos resuelven.

La "densidad de defectos" ha disminuido un 16 por ciento durante los últimos tres años entre los proyectos escaneados en el sitio y se han eliminado unos 11.200 defectos. según el último informe de Coverity.

Cuatro proyectos obtuvieron el estatus "Rung 3" de alto nivel, luego de resolver los defectos descubiertos durante los peldaños 1 y 2, dijo Coverity. Son Samba, tor, OpenPAM y Ruby.

El sitio de escaneo hasta ahora ha analizado más de 60 millones de líneas únicas de código de 280 proyectos, según Coverity. Más de 180 proyectos tienen desarrolladores trabajando activamente para escanear proyectos de código abierto.

El servicio de escaneo de Coverity emplea análisis estático, que se usa para verificar si el código tiene problemas de seguridad o rendimiento sin tener que ejecutar una aplicación. Esto es preferible porque "probar cada ruta en un programa complejo mientras se ejecuta requiere construir un gran número de casos de prueba especiales o estructurar el código de maneras especiales", dijo Coverity.

"El análisis estático [herramientas] no le dirá que su proceso de negocio está funcionando correctamente … pero le dirán que el código en sí es técnicamente sólido, y sigue el tipo de mejores prácticas de programación que esperaría ver en el código que ha pasado por una revisión de código adecuada ", dijo Forrester Research analista Jeffrey Hammond por correo electrónico.

Las herramientas tienden a ser más útiles para encontrar "antigramas" estructurales en el código, malas prácticas de programación que pueden generar problemas de rendimiento y seguridad como pérdidas de memoria y desbordamientos de búfer, así como condiciones más exóticas como errores debidos a la ejecución paralela de código en un entorno de CPU multinúcleo ", agregó.