Suchen

Softwarequalität Open Source und proprietäre Software liegen bei Codequalität fast gleichauf

Redakteur: Franz Graser

Zum fünften Mal präsentiert der Codeanalyse-Spezialist Coverity seinen Coverity Scan Open Source Report. Die Auswertung von über 450 Millionen Codezeilen ergibt: Proprietäre und Open-Source-Projekte übertreffen den industrieweiten Standard für die Güte von Softwarecode.

Firmen zum Thema

Den alten Streit, ob proprietäte Software oder Open-Source-Programme besser sind, kann der Coverity-Scan nicht eindeutig entscheiden. Interessant ist aber der Trend, dass bei proprietären Projekten gilt: Je umfangreicher, desto besser. Open-Source-Projekte lassen dagegen mit wachsendem Codeumfang eher nach.
Den alten Streit, ob proprietäte Software oder Open-Source-Programme besser sind, kann der Coverity-Scan nicht eindeutig entscheiden. Interessant ist aber der Trend, dass bei proprietären Projekten gilt: Je umfangreicher, desto besser. Open-Source-Projekte lassen dagegen mit wachsendem Codeumfang eher nach.
(Bild: Coverity)

Das Forschungsprojekt Coverity Scan Report wurde im Jahr 2006 von dem US-Softwerker und der amerikanischen Heimatschutzbehörde initiiert. Ziel war es, die Qualität und Sicherheit von Open-Source-Software im Vergleich zu Closed-Source-Programmen zu ermitteln.

Zu den analysierten freien Softwareprojekten zählten unter anderem das Betriebssystem Linux, die Skriptsprache PHP oder der Apache-Webserver. Darüber hinaus wird der Programmcode von über 300 Coverity-Kunden anonym ausgewertet. Als Qualitätsmaßstab gilt die Marke von einem Defekt pro 1000 Zeilen Programmcode, die in der Industrie als Standard für gute Softwarequalität gilt.

Die Analyse ergab, dass bei Open-Source-Projekten, die Coverity Scan nutzen, die durchschnittliche Defektrate bei 0,69 Fehlern je 1.000 Zeilen Programmcode lag. Beim überprüften kommerziellen Code von Coverity-Kunden lag die Rate bei 0,68 Punkten. Beide Lager liegen damit praktisch gleichauf und sind klar besser als der Industriestandard von einem Fehler pro 1000 Lines of Code.

Klare Maßstäbe für die Codequalität setzt darüber hinaus Linux. Das freie Betriebssystem war bereits 2008 bei der ersten Ausgabe des Reports klar besser als der Industrie-Benchmark und hat sich seitdem auch stetig verbessert. Beim aktuellen Report scannte Coverity 7,6 Millionen Codezeilen der Linux-Version 3.8 und ermittelte eine vorbildliche Defektrate von 0,59 Fehlern pro 1000 Programmzeilen.

Interessant ist auch, dass umfangreiche proprietäte Softwareprojekte tendenziell eine bessere Qualität aufweisen als kleinere. Lag der Umfang proprietärer Software zwischen 500.000 und einer Million Codezeilen, dann belief sich die durchschnittliche Defektrate auf 0,98 Fehler pro 1000 Programmzeilen. Bei Projekten mit mehr als einer Million Lines of Code verringerte sich die Defektrate auf 0,66.

Anders dagegen bei Open-Source-Projekten: Für Projekte mit einem Umfang von 500.000 bis zu einer Million Programmzeilen wies die durchschnittliche Defektrate einen Wert von 0,44 auf. Wurde die Marke von einer Million Codezeilen überschritten, betrug die Zahl 0,75. Die Softwarequalität verschlechterte sich also mit zunehmender Projektgröße.

Eine mögliche Erklärung für dieses Phänomen könnte laut Coverity darin liegen, dass sich bei Open-Source-Projekten ab einer gewissen kritischen Masse das Fehlen standardisierter Entwicklungsprozesse bemerkbar machen kann. Freie Projekte, in denen anfangs viel Herzblut einer kleinen Entwicklergruppe steckte, werden demnach ab einer gewissen Größe schwerer beherrschbar. Bei proprietätren Projekten greifen dagegen ab einer Schallmauer von etwa einer Million Codezeilen formale Test- und Qualitätsprozesse, die sich spürbar auf die Codegüte auswirken.

Den alten Streit, ob proprietäte Software oder Open-Source-Programme besser sind, kann der Coverity-Scan nicht eindeutig entscheiden. Interessant ist aber der Trend, dass bei proprietären Projekten gilt: Je umfangreicher, desto besser. Open-Source-Projekte lassen dagegen mit wachsendem Codeumfang eher nach.
Den alten Streit, ob proprietäte Software oder Open-Source-Programme besser sind, kann der Coverity-Scan nicht eindeutig entscheiden. Interessant ist aber der Trend, dass bei proprietären Projekten gilt: Je umfangreicher, desto besser. Open-Source-Projekte lassen dagegen mit wachsendem Codeumfang eher nach.
(Bild: Coverity)

Besorgniserregend ist allerdings, dass 36 Prozent der Defekte, die im Rahmen des Scan Reports 2012 behoben wurden, in die Kategorie der Hochrisiko-Defekte fielen: Diese Kategorie beschreibt Defekte, die eine hohe potentielle Gefahr für Qualität und Sicherheit der untersuchten Software darstellen, wenn sie nicht entdeck werden. Zu den häufigsten im Report genannten Hochrisiko-Defekten zählen Ressourcenleaks, Speicherkorruptionen und unerlaubte Speicherzugriffe.

(ID:39509850)