Nghiên cứu chỉ ra Chất lượng Mã nguồn của Nguồn Mở đang được cải thiện

StudyShows Open-source Code Quality Improving

Chris Kanaracus, IDG NewsService

Wednesday, September 23,2009 9:20 AM PDT

Theo:http://www.pcworld.com/businesscenter/article/172469/study_shows_opensource_code_quality_improving.html

Bài được đưa lênInternet ngày: 23/09/2009

Số lượng tổng thểcác khuyết tật trong các dự án nguồn mở đang giảm,một nghiên cứu mới của nhà cung cấp Coverity đã tìmthấy.

Coverity, nhà sản xuấtcác công cụ cho việc phân tích mã nguồn chương trình,đã nhận được một hợp đồng trong năm 2006 từ Bộ Anninh Quốc nội Mỹ để giúp cải thiện chất lượng củaphần mềm nguồn mở, mà nó là đang được sử dụngngày một gia tăng bởi các cơ quan chính phủ.

Nhà cung cấp đãthiết lập một Website qua đó các dự án nguồn mở vàcác nhà lập trình phát triển có thể đề xuất mã nguồnđể được phân tích. Nhà cung cấp này chỉ định cácdự án cho một loạt các “thang chuẩn mực” dựa vàoviệc có bao nhiêu khiếm khuyết họ giải quyết.

“Mậtđộ các khiếm khuyết” đã giảm 16% trong vòng 3 năm quatrong số các dự án được quét qua site này và khoảng11,200 khiếm khuyết đã được hạn chế, theo báo cáo mớinhất của Coverity.

4dự án đã được cho là mức cao “thang 3”, sau khi giảiquyết các khiếm khuyết được phát hiện ra trong thang 1và 2, Coverity nói. Chúng là Samba, tor, OpenPAM và Ruby.

SiteScan cho tới nay đã phân tích hơn 60 triệu dòng lệnh mãnguồn từ 280 dự án, theo Coverity. Hơn 180 dự án đượcphát triển một cách tích cực làm việc để để quétcác dự án nguồn mở.

Dịch vụ quét củaCoverity sử dụng phân tích tĩnh, mà nó được sử dụngđể kiểm tra mã nguồn về các vấn đề an ninh hoặc tốcđộ thực thi mà không phải chạy bản thân một ứngdụng nào. Điều này là đáng ưa hơn vì “việc kiểmthử mỗi dòng trong một chương trình phức tạp khi nóchạy các yêu cầu xây dựng một số lượng lớn cáctrường hợp kiểm thử đặc biệt hoặc việc cấu trúccho mã nguồn theo các cách đặc biệt”, Coverity nói.

“[Các công cụ] phântích tĩnh sẽ không nói cho bạn rằng qui trình nghiệp vụcủa bạn đang làm việc đúng đắn... nhưng chúng sẽ nóicho bạn rằng bản thân mã nguồn về mặt kỹ thuật làcứng cáp, và tuân theo dạng các thực tế lập trình tốtnhất mà bạn mong đợi thấy từ mã nguồn đã qua xem xétlại một cách phù hợp”, nhà phân tích Jeffrey Hammond củaForrester Research, đã nói qua thư điện tử.

Các công ty có xuhướng là có ích lợi nhất cho việc tìm kiếm “'chốnglại các bằng sáng chế' một cách có cấu trúc trong mãnguồn, những thực tế lập trình yếu kém mà có thểgây ra trong các vấn đề về an ninh và tốc độ thựcthi như rò rỉ bộ nhớ và tràn bộ nhớ đệm cũng nhưcác điều kiện kỳ lạ hơn như các lỗi do sự thực thimã nguồn một cách song song trong một môi trường CPUnhiều nhân”, ông bổ sung.

Theoverall number of defects in open-source projects is d-ropping, a newstudy by vendor Coverity has found.

Coverity,maker of tools for analyzing programming code, received a contract in2006 f-rom the U.S. Department of Homeland Security to help boost thequality of open-source software, which is increasingly being used bygovernment agencies.

Thevendor has set up a Web site through which open-source projects anddevelopers can submit code to be analyzed. The vendor assignsprojects to a series of "rungs" depending on how manydefects they resolve.

"Defectdensity" has d-ropped 16 percent during the past three yearsamong the projects scanned through the site and some 11,200 defectshave been eliminated, according to Coverity's latest report.

Fourprojects have been granted top-level "Rung 3" status, afterresolving defects discovered during Rung 1 and 2, Coverity said. Theyare Samba, tor, OpenPAM and Ruby.

TheScan site has so far analyzed more than 60 million unique lines ofcode f-rom 280 projects, according to Coverity. More than 180 projectshave developers actively working to scan open-source projects.

Coverity'sscanning service employs static analysis, which is used to check codefor security or performance problems without having to run anapplication itself. This is preferable because "testing everypath in a complex program as it runs requires constructing a largenumber of special test cases or structuring the code in specialways," Coverity said.

"Staticanalysis [tools] won't tell you that your business process is workingcorrectly ... but they will tell you that the code itself istechnically solid, and follows the kind of programming best practicesyou'd expect to see f-rom code that has gone through a proper codereview," said Forrester Research analyst Jeffrey Hammond viae-mail.

Thetools tend to be most helpful for finding "structural'anti-patterns' in code, poor programming practices that can resultin performance and security issues like memory leaks and bufferoverflows as well as more exotic conditions like errors due toparallel execution of code in a multicore CPU environment," headded.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com