Daniel Seuffert
Well-Known Member
Auf SecurityFocus findet sich dieser interessante Artikel über das Coverity prevent analysis tool (Ted Unangst ist vielleicht manchem bekannt hier) und seinen Einsatz:
http://www.securityfocus.com/news/11230
Kurze Zusammenfassung auf Deutsch: Es wurden 306 potentielle Fehler entdeckt, davon nur 5 sicherheitsrelevante und 12 buffer overflows. Dies entspricht angeblich nur ungefähr 1 Fehler auf 4.000 codezeilen und unterstreicht die Bemühungen der Entwickler sauberen code abzuliefern. Colin Percival als einer der Mitglieder des Security temas von FreeBSD betont, daß bereits alle gefundenen Fehler gefixt sind. Selbstverständlich darf und sollte sich jedermann melden, falls er neue entdecken sollte.
Bemerkenswert ist imho die Aussage, daß trotz einer Verdoppelung des code-Volumens in FreeBSD (Linux hat seine codebasis in den letzten 4 Jahren verdreifacht als Vergleich) innerhalb eines Jahres die Fehleranzahl ungeachtet der Verbesserungen im analysis tool auf die Hälfte zurückging. Das bedeutet für mich:
a) FreeBSD wächst sehr stark in der codebasis durch neue features, Treiber etc.
b) Das Wachstum geht nicht zu Lasten der code-Qualität
c) Die richtige Orga ist am Werk und erfahrene und kompetente committer steuern code bei bzw. geben ihn frei.
Ich möchte noch erwähnen, daß Scott Long vor einigen Wochen bereits verkündet hat, daß nach dem Release von 6.0 (geplant 15.08.2005) nochmals die ganze codebasis durchkämmt wird. All diese Punkte werden meines Erachtens von der Öffentlichkeit viel zu wenig beachtet, weil solche Dinge leider nicht sonderlich hypefähig sind. Ich wünsche mir persönlich noch mehr Regressionstests (es gibt auch z.B. jetzt ein Sommer of code Projekt dazu) und mehr Stresstests. Diese werden z.B. von Peter Holm in Dänemark durchgeführt, dessen Arbeit leider auch ungerechtfertigterweise etwas im Schatten steht.
Ich hoffe, daß alle Beteiligten weiterhin so gute Arbeit leisten oder sich sogar noch steigern können. Wir alle profitieren davon als Nutzer.
http://www.securityfocus.com/news/11230
Kurze Zusammenfassung auf Deutsch: Es wurden 306 potentielle Fehler entdeckt, davon nur 5 sicherheitsrelevante und 12 buffer overflows. Dies entspricht angeblich nur ungefähr 1 Fehler auf 4.000 codezeilen und unterstreicht die Bemühungen der Entwickler sauberen code abzuliefern. Colin Percival als einer der Mitglieder des Security temas von FreeBSD betont, daß bereits alle gefundenen Fehler gefixt sind. Selbstverständlich darf und sollte sich jedermann melden, falls er neue entdecken sollte.
Bemerkenswert ist imho die Aussage, daß trotz einer Verdoppelung des code-Volumens in FreeBSD (Linux hat seine codebasis in den letzten 4 Jahren verdreifacht als Vergleich) innerhalb eines Jahres die Fehleranzahl ungeachtet der Verbesserungen im analysis tool auf die Hälfte zurückging. Das bedeutet für mich:
a) FreeBSD wächst sehr stark in der codebasis durch neue features, Treiber etc.
b) Das Wachstum geht nicht zu Lasten der code-Qualität
c) Die richtige Orga ist am Werk und erfahrene und kompetente committer steuern code bei bzw. geben ihn frei.
Ich möchte noch erwähnen, daß Scott Long vor einigen Wochen bereits verkündet hat, daß nach dem Release von 6.0 (geplant 15.08.2005) nochmals die ganze codebasis durchkämmt wird. All diese Punkte werden meines Erachtens von der Öffentlichkeit viel zu wenig beachtet, weil solche Dinge leider nicht sonderlich hypefähig sind. Ich wünsche mir persönlich noch mehr Regressionstests (es gibt auch z.B. jetzt ein Sommer of code Projekt dazu) und mehr Stresstests. Diese werden z.B. von Peter Holm in Dänemark durchgeführt, dessen Arbeit leider auch ungerechtfertigterweise etwas im Schatten steht.
Ich hoffe, daß alle Beteiligten weiterhin so gute Arbeit leisten oder sich sogar noch steigern können. Wir alle profitieren davon als Nutzer.
