En 2006, le département de la Sécurité intérieure des États-Unis lançait en partenariat avec la société Coverity un projet afin d'évaluer l'intégrité du code open source. Aujourd'hui, ce projet est uniquement géré et détenu par Coverity.

Présent sur le marché du test de développement logiciel, Coverity propose une solution d'analyse statique de code ( Coverity Static Analysis ), notamment retenue par l'Agence nationale de la sécurité des systèmes d'information ( Anssi ).

Coverity vient de publier une étude ( PDF ) qui pour la première fois prend en compte du code propriétaire. En plus de 37 millions de lignes de code open source, ce sont 300 millions de lignes de code propriétaire qui ont été incluses dans l'étude suite à l'analyse par Coverty Static Analysis. Les noms des clients propriétaires ne sont pas dévoilés.

Chasse Bug Après l'examen de 45 projets open source dits majeurs et quelque 820 000 lignes de code, Coverity rapporte une densité moyenne de défauts ( ou erreurs ) de 0,45 sur la base du nombre de défauts pour 1 000 lignes de code.

Pour 41 projets propriétaires et 7,5 millions de ligne de code, ce même taux est de 0,64 défauts pour 1 000 lignes de code. La qualité du code open source est donc au moins égale à celle du code propriétaire et parfois supérieure.

Dans ses conclusions, Coverity place la qualité du code open source et propriétaire sur un même pied d'égalité, en particulier dans les cas où le code de base ( codebase ) est de taille similaire. " Par exemple, Linux 2.6 est un projet avec près de 7 millions de lignes de code, et a une densité de défauts de 0,62 ce qui est à peu près identique à celle de ses homologues propriétaires ".

Outre Linux 2.6, des projets tels que PHP 5.3 et PostgreSQL sont distingués pour l'excellente qualité de leur code et qualifiés de " citoyens modèles " ( pour notamment l'adoption d'une analyse statique de code ).