ειδήσεις: ΕΛ/ΛΑΚ projects και προγραμματιστές που αξίζουν συγχαρητήρια

Sun Feb 17 02:13:11 EET 2008

διαβάζοντας το CRYPTO-GRAM February 15 του Bruce Schneier βλέπω αυτό:
<<<
The [US Department of Homeland Security] is paying for open source
software to be scanned for security bugs, and then fixing them. They
find, on average, one security flaw per 1,000 lines of code.  And when
the flaw is fixed, everyone's security improves.
   [1] http://www.informationweek.com/story/showArticle.jhtml?articleID=205600229&cid=RSSfeed_IWK_All
   [2] http://www.pcworld.com/businesscenter/article/141226/open_source_security_bugs_uncovered.html
>>>

λίγα λόγια παραπάνω επισυνάπτω κάνοντας quote από το ref. [2]:
<<<
    A US Department of Homeland Security (DHS) bug-fixing scheme has
uncovered an average of one security glitch per 1,000 lines of code in
180 widely used open source software projects. The program, [...] is
sponsored [=payed] by the DHS and carried out by Coverity and Stanford
University. Launched in March 2006, the US$300,000 project was
initially launched to review [με αυτόματο τρόπο] the code of 180 open
source software projects frequently used by developers of government
websites and application developers. Coverity also scans proprietary
software, handling about 400 product lines for private customers, but
said its private clients don't tend to disclose information about bugs
found in their products [μτφ: δεν το κάνουν ποτέ και για κανένα λόγο].
>>>

κατ' αρχήν από μόνη της αυτή η πληροφορία είναι πολύ ενδιαφέρουσα (το
US Department of Homeland Security δείνει 300.000 USD για να ελέγξει
την ποιότητα εφαρμογών ΕΛ/ΛΑΚ) και είναι ένα άψογο παράδειγμα του πόσο
σημαντικό είναι να έχεις πρόσβαση στον κώδικα και πόσα δευτερογενή
οφέλη μπορεί να αποφέρει ακόμη και σ' αυτούς που δεν έχουν καμία
πιθανότητα να ασχοληθούν με τον κώδικα άμεσα ή έμμεσα. Πέραν αυτού
όμως υπάρχει συνέχεια:

<<<
[the project] has uncovered an average of one security glitch per
1,000 lines of code in 180 widely used open source software projects.
>>>

κράτησα το παραπάνω δεδομένο από το ref. [2] και μετά από το ref. [1]
έφτιαξα αυτόν τον πίνακα:

project          lines   defects  defects  defects  defects
                  of    detected  per1000   fixed   not yet
                 code              lines             fixed
------------------------------------------------------------
Amanda          82,229         0    0.000       -        -
courier-maildir 82,229         0    0.000       -        -
OpenVPN         69,223         1    0,014       0        1
PostgreSQL     909,148              0.041      53       37
linux 2.6    3.640,000              0.127     452      461
apache         135,916              0.140       3       19
glibC          588,931        83    0.140      83        0
OpenSSL        221,194        49    0,221      24       25
Firefox    (~2,170,000)*     672    0.309     370      302
KDE          4,712,273     1,644    0.348   1,554       90
samba          450,000       236    0,524     228        8
Gnome          430,809       576    1,339     357      219

* το νούμερο δεν είναι απο το άρθρο αλλά από το
http://msquaredtechnologies.com/m2rsm/rsm_software_project_metrics.htm

οι προγραμματιστές των παραπάνω projects θα πρέπει να είναι ΠΟΛΥ
περήφανοι έστω και αν μιλάμε για ένα X metric που προκύπτει από ένα Y
πρόγραμμα ελέγχου που εντοπίζει κάποια Z "defects". Τα οποία defects
πάντως *είναι* αξία λόγου αφού οι διάφορες ομάδες προγραμματιστών των
παραπάνω projects τα θεωρούν bugs και τα διορθώνουν κατα μεγάλο
ποσοστό και έως και πλήρως. Όσο κακό κι αν είναι το γεγονός ότι
υπάρχει προτζεκτ που σε 70.000 γραμμές κώδικα είχε *ΕΝΑ* defect ενώ ο
μέσος όρος είναι 70 σε κάνει να μένεις με το στόμα ανοιχτό (αμ το KDE!
4.7 ΕΚΑΤΟΜΜΥΡΙΑ γραμμές με μόλις 1644 defects εκ των οποίων σχεδόν όλα
διορθώθηκαν!!!!!!).

ΜΠΡΑΒΟ ΤΟΥΣ