新思免費提供Coverity Scan開源碼檢測報告

新思科技公布2014年度Coverity Scan開源碼檢測報告(Coverity Scan Open Source Report)，這項研究是2006 年由美國國土安全部(U.S. Department of Homeland Security)啟動的一項公私合營專案計畫，旨在驗證開源軟體的品質與安全性，而這份年度報告將免費提供給開源碼社群使用，藉以協助他們在軟體開發的過程中，建立品質與安全管理機制。

Coverity Scan Open Source Report是透過Synopsys Coverity軟體商用測試平台進行分析近百億行的開源碼，是目前同類型檢測中具有最大樣本數的研究。2013年度的報告當中顯示，針對靜態分析(analysis defect)之缺陷密度，開源碼在品質上已超越商業程式碼，此趨勢持續在2014年度的報告中呈現。

然而今年度Coverity Scan服務的報告將前十大開放網路軟體安全計畫(Open Web Application Security Project Top 10；OWASP)和通用缺陷列表 (Common Weakness Enumeration 25；CWE)等安全合法標準也一併納入考量，結果則顯示商業程式碼比開源碼更能符合標準。

為能完成這份報告，軟體開發人員在2014年總共進行2,500多個開源C/C++專案及商業專案匿名樣本程式碼分析。此外，報告中也持別針對2013年3月起即加入Coverity Scan服務的數個大眾化、開源Java和C#專案，提供分析結果。

新思科技軟體整合事業群(Software Integrity Group)指出，雖然軟體的整體的品質和安全性正逐漸提升，但其中所涉及的開源和商業標準都還未臻完善，亦無法確切地發現每項缺陷；而由於軟體的上市時程較以往來得迫切，軟體開發人員需要在安全與速度之間取得平衡點，隨著這些專案開始採用如Coverity Scan的解決方案，預期在整個2015年度，開源碼與商業程式碼的安全性，都將會持續提升。

Coverity開源檢測報告已廣泛被接受為評斷開源碼品質的衡量標準。自9年前開始提供檢測分析以來，Coverity Scan服務已分析過數十億行的程式碼；截至目前為止，也檢測過超過5,100個開源專案－包括C/C++專案(例如Linux、FreeBSD、LibreOffice、Python、PostgreSQL、Firefox與NetBSD)及Java專案(例如Apache Hadoop、HBase、Tomcat、Cloudstack和Cassandra)。

自2006 年以來，Coverity Scan已協助軟體開發人員找出並修正240,000多個軟體程式上的缺陷；如同Coverity開源檢測報告上所記載，光在2014年度便已修正近152,000個缺陷，而這個數量已超過Coverity Scan服務歷年來檢測紀錄的總合。