OSS の整合性、品質、セキュリティは全体的に向上――Coverity スキャンレポート

米国ソースコード分析ツールベンダーの Coverity は2009年9月23日、「2009 Coverity Scan Open Source Report」を発表した。

このレポートは、OSS の整合性に照準を絞った政府/民間共同研究プロジェクトの成果をまとめたもの。過去3年にわたる280のオープン ソース プロジェクトの、110億行以上のオープン ソースコードを解析した調査結果が記載されている。

このスキャンプロジェクトは、当初、米国国土安全保障省の支援を受けて立ち上げられた。

レポートによると、OSS の整合性、品質、セキュリティは全体的に向上しており、毎年、Coverity 認定の「Integrity Rung」（整合性レベル）ランクを上げているプロジェクトが増え続けている、とのことだ。

具体的には、静的解析の欠陥密度が16％減少したことが判明、また、Coverity Scan サービスにより、2006年以降、1万1,200以上のオープンソース プログラムの欠陥が検出、修正された。その際、180以上のプロジェクトで、Coverity Scan によって検出された欠陥のチェックと修正作業に、開発者が積極的に参加しているそうだ。

さらに、レポートでは、2009年には Rung 1 認定プロジェクトの数が、2008年比で32％増加、同期間の Rung 2 認定プロジェクト数は2倍となった。

OpenPAM、Ruby、Samba、tor は、Coverity Integrity Rung 3 認定（最上級認定ランク）の候補となった初のプロジェクト。

レポートによると、オープンソース プロジェクトに共通する最も一般的な欠陥は、Null  ポインタ、リソース リーク、そして、式が予期せず無視されるエラーだそうだ。