コード解析ツールベンダーの米Coverityは9月23日(米国時間)、オープンソースソフトウェアの品質に関する報告書「2009 Coverity Scan Open Source Report」を発表した。280のオープンソースプロジェクトを調べたもので、オープンソースの品質やセキュリティは改善しているという。
Coverityは2006年に米国政府と契約、同社のソース解析ツール「Coverity Scan」を利用して280のオープンソースプロジェクトの整合性、品質、セキュリティを調べている。Firefox、Linux、PHP、Ruby、Sambaなどのプロジェクトが含まれており、ソースコード合計は110億行を上回るという。
調査の結果、2006年の欠陥密度平均値は0.3(コード約3333行につき欠陥1件)だったのが、2009年には0.25(コード約4000行につき1件)に改善、3年間で16%減少した。2006年以来、11,246件の欠陥が同社サービスにより修正されたという。欠陥の種類として共通して多かったのは、Nullポインタ、リソースリークなど。
同社の整合性レベルの評価「Rung」で、Rung 2と認定されたプロジェクトは36あり、このうちOpenPAM、Ruby、Samba、Torが最高評価となる「Rung 3」を目指して作業を開始したという。Rung 2にはこのほか、PHP、Python、Perl、Amanda、OpenVPNなど36のプロジェクトが認定されている。
報告書では、180以上のプロジェクトで同社サービスが検出した欠陥を修正する開発者を抱えるなど、サポートが増強しているとし、全体として、オープンソースソフトの整合性、品質は改善していると評価している。
コーディングプラクティスとして、コード整合性を上位レベルで監督することのほか、nightly build、継続的統合、ユニットテスト、リグレッションテストなどを挙げている。
米Coverity
http://www.coverity.com/