La sécurité des projets open source continue de s'améliorer

En mars 2006, sous le mécénat du département US de la sécurité intérieure, a été lancé le programme Open Source Hardening Project avec pour objectif l’amélioration de la sécurité des logiciels open source. Plusieurs centaines de milliers dollars ont été engagés et l’expertise a été confiée à la société Coverity. En deux ans, près de 10 milliards de lignes de code de 14 238 projets ont été analysées notamment en quête d’éventuelles failles.

Coverity vient de publier son rapport Scan 2008 sur les logiciels open source qui se base sur l’analyse de plus de 55 millions de lignes de code provenant de 250 projets open source parmi les plus populaires comme le serveur Web Apache, Linux. Ce rapport fait état des conclusions suivantes :

• La qualité et la sécurité des logiciels open source s’améliore : sur les deux dernières années, il a été observé une diminution de 16 % du nombre d’erreurs détectées par analyse statique, à savoir l’élimination de plus de 8 500 erreurs
• La prédominance de certains types d’erreurs
• Les projets avec en moyenne des fonctions plus longues ne sont pas plus exposés à des erreurs
• Le taux moyen de faux positifs sur les projets open source est inférieur à 14 %

Entre " complexité cyclomatique " et " indicateur d’effort Halstead ", le rapport est tout de même assez technique mais il se veut assurément rassurant quant à qualité du travail fourni par les développeurs open source. De quoi tranquilliser le gouvernement américain d’autant que comme le précise Coverity en citant l’analyste Mark Driver, d’ici 2012, 80 % ou plus des logiciels commerciaux intégreront des éléments issus des technologies open source.