美国新思科技公司 (Synopsys, Nasdaq: SNPS)发布了 2017 年 Coverity® Scan 报告,检查分析了过去十年通过 Coverity Scan 收集到的开源软件(OSS)质量和安全数据。Coverity Scan 是新思科技提供的免费静态代码分析解决方案,有超过 4,600 个 OSS 项目活跃用户。Coverity Scan 报告发现这些项目广泛实施了安全软件开发实践,报告也强调了管理 OSS 风险的重要性。此外,报告还指出了 Coverity Scan 对 OSS 开发实践的质量和 OSS 生态系统整体成熟度的贡献。请点击这里,获取 Coverity Scan 报告完整版。
 
新思科技软件质量与安全部门高级副总裁兼总经理 Andreas Kuehlmann 表示:“开源程序非常普遍,它对所有类型的软件都能起到重要作用。有鉴于此,了解和管理风险不再是可选项,而是必选。Coverity Scan 报告重点指出了一些最成熟、应用最多的开源项目的进展,它为更广泛的软件完整性的开源社区提供了宝贵意见。”
 
自 2006 年成立以来,Coverity Scan 在活跃的 OSS 项目中找出了 110 多万个缺陷,并帮助修复了 60 多万个缺陷。2017 年 Coverity Scan 报告详细分析了不同编程语言的近 7.6 亿行开源代码,包括 C / C ++,C#,Java,JavaScript,Ruby,PHP 和 Python。
 
2017 年 Coverity Scan 报告的主要发现如下:
 
参与 Coverity Scan 的活跃项目广泛实施了安全软件开发计划。自 2016 年 1 月起,已有 4,117 个活跃项目提交用于分析的版本。 其中,近 50%(2,049)使用 Travis CI,显示了持续集成 / 连续部署(CI / CD)的应用。其它 2,509 个项目已经进行了问题分类,这要求开发人员熟悉代码库。另外,还有 1,120 个项目使用建模,这是一种为分析结果提升质量的机制。
 
主要举措表明 OSS 项目的成熟度日益提高。 开发人员采用 CI / CD 和修复有效警告的缺陷,突出了静态分析在 OSS 生态系统中的价值。其它反映成熟度的措施,如需要设定开发和开源社区指标,列出与 OSS 消费相关的风险。
 
商用和 OSS 生态系统正在融合。 Coverity 一些最大的商业用户表示,交付给客户的软件可以包含高达 90%的开源代码。此外,现在有些公司完全使用 OSS,这证明 OSS 已经是常态。
 
新思科技 Coverity Scan 通过在软件开发过程中发现关键的质量缺陷和潜在的安全漏洞,来帮助降低风险并减少整体项目成本。新思科技管理 Coverity Scan 项目,并为开源社区提供静态应用安全测试(SAST)免费服务,帮助他们在其软件生命周期内构建质量和安全性。 请点击这里,获取更多 Coverity Scan 资料。