美国新思科技(Synopsys)公司发布了2017年Coverity® Scan 报告,检查分析了过去十年通过Coverity Scan收集到的开源软件(OSS)质量和安全数据。Coverity Scan是新思科技提供的免费静态代码分析解决方案,有超过4,600个OSS项目活跃用户。Coverity Scan报告发现这些项目广泛实施了安全软件开发实践,报告也强调了管理OSS风险的重要性。此外,报告还指出了Coverity Scan对OSS开发实践的质量和OSS生态系统整体成熟度的贡献。(点击这里,可获取Coverity Scan报告完整版)
新思科技软件质量与安全部门高级副总裁兼总经理Andreas Kuehlmann表示:“开源程序非常普遍,它对所有类型的软件都能起到重要作用。有鉴于此,了解和管理风险不再是可选项,而是必选。Coverity Scan报告重点指出了一些最成熟、应用最多的开源项目的进展,它为更广泛的软件完整性的开源社区提供了宝贵意见。”
自2006年成立以来,Coverity Scan在活跃的OSS项目中找出了110多万个缺陷,并帮助修复了60多万个缺陷。2017年Coverity Scan报告详细分析了不同编程语言的近7.6亿行开源代码,包括C / C ++,C#,Java,JavaScript,Ruby,PHP和Python。
2017年Coverity Scan报告的主要发现如下:
- 参与Coverity Scan的活跃项目广泛实施了安全软件开发计划。自2016年1月起,已有4,117个活跃项目提交用于分析的版本。 其中,近50%(2,049)使用Travis CI,显示了持续集成/连续部署(CI / CD)的应用。其它2,509个项目已经进行了问题分类,这要求开发人员熟悉代码库。另外,还有1,120个项目使用建模,这是一种为分析结果提升质量的机制。
- 主要举措表明OSS项目的成熟度日益提高。 开发人员采用CI / CD和修复有效警告的缺陷,突出了静态分析在OSS生态系统中的价值。其它反映成熟度的措施,如需要设定开发和开源社区指标,列出与OSS消费相关的风险。
- 商用和OSS生态系统正在融合。 Coverity一些最大的商业用户表示,交付给客户的软件可以包含高达90%的开源代码。此外,现在有些公司完全使用OSS,这证明OSS已经是常态。
新思科技 Coverity Scan通过在软件开发过程中发现关键的质量缺陷和潜在的安全漏洞,来帮助降低风险并减少整体项目成本。新思科技管理Coverity Scan项目,并为开源社区提供静态应用安全测试(SAST)免费服务,帮助他们在其软件生命周期内构建质量和安全性。