https://www.opennet.ru/openforum/vsluhforumID3/89919.html Компания Coverity, развивающая инструментарий для автоматического анализа кода на предмет наличия проблем безопасности и ошибок опубликовала (http://www.coverity.com/company/press-releases/read/annual-coverity-scan-report-finds-open-source-and-proprietary-software-quality-better-than-industry-average-for-second-consecutive-year) отчёт (PDF (http://wpcme.coverity.com/wp-content/uploads/2012-Coverity-Scan-Report.pdf), 1 Мб) с результатами изучения 450 млн строк кода, охватывающих 118 наиболее активно разрабатываемых открытых проектов и 256 проприетарных продуктов. <br><br><br>В среднем уровень дефектов в открытом и закрытом коде оказался примерно на одном уровне - 0.69 против 0.68 ошибок на 1000 строк кода, что значительно выше требований промышленных стандартов качества, в которых допускается 1 ошибка на 1000 строк кода. В проектах размером от 500 тысяч до 1 млн строк кода открытое ПО почти в два раза опередило проприетарное ПО по качеству, показав коэффициент наличия ошибок 0.44 против 0.98. Для проектов до 100 тыс https://www.opennet.ru/openforum/vsluhforumID3/89919.html#78 Wed, 15 May 2013 00:08:58 GMT &gt; Что открытый код не может быть проприетарным? И кто пишет открытый код? <br>&gt; Те же, кто пишет проприетарный <br><br>открытый != свободный<br> https://www.opennet.ru/openforum/vsluhforumID3/89919.html#77 Wed, 15 May 2013 00:03:13 GMT &gt; Слышал звон,да не понял где он?!<br><br>Не понял -- проходи (ц)<br><br>&gt; Никогда еще майкрософт не предоставлял доступ к исходникам.Тем более спецслужбам.<br>&gt; Тем более Российским.<br><br>Это Вы не в курсе. Предоставляли по программе чего-то там government access или подобным образом названной, о чём пытались громко бить себя пятою в грудь.<br><br>Вот только предоставленные ими исходники не собирались, а недостающее они "и не подписывались давать". Толку с таких исходников -- что с Балмера молока.<br> https://www.opennet.ru/openforum/vsluhforumID3/89919.html#76 Sun, 12 May 2013 15:13:24 GMT Нет<br> https://www.opennet.ru/openforum/vsluhforumID3/89919.html#75 Sun, 12 May 2013 14:18:51 GMT Хочу тоже вставить пару слов, так как тема мне близка.<br><br>В комментариях мешанина из мыслей, кто, кому и зачем должен показывать исходный код. Я понимаю ситуацию так. Есть правительственные учреждения и военные. Чтобы продать им программное обеспечение, необходимо получить ряд сертификатов. Чтобы получить некоторые сертификаты, программа должна быть проанализирована с целью выявления закладок. Использование неинициализированных переменных и так далее, может быть потенциальной уязвимостью, поэтому такие ошибки тоже стараются ловить. Открытое ПО или нет, тут разницы нет. Хочешь определенный сертификат - показывай код.<br><br>Теперь по поводу отчета. Мне такой формат не нравятся. Совершенно не понятно, что найдено. Одно дело найти настоящую ошибку, а совсем другое потенциальную ошибку. Потенциальных ошибок везде много, но они не приводят к проблемам. По крайне мере в конкретной этой программе. Но зато, их хорошо для количества учитывать в отчетах. :) Мол, если эту программу отрефакторить, и совпадут такие-то условия https://www.opennet.ru/openforum/vsluhforumID3/89919.html#74 Sat, 11 May 2013 11:29:19 GMT &gt; Тогда где аналитика по винде и пр. продуктам мс?<br>&gt; Зыж <br>&gt; Очевидно также что такая аналитика есть.<br>&gt; А вот публикация её... не в интересах нац.безопасности.:D <br><br>возмжно потому она (подробная аналитика по винде и всяким мсофисам) и проходит одной общей строкой как "проприетарный софт" - без уточнения, без конкретики. Потому как "публикация её... не в интересах нац.безопасности".<br> https://www.opennet.ru/openforum/vsluhforumID3/89919.html#73 Sat, 11 May 2013 11:25:19 GMT &gt; Должна быть заявка на исходный код такой-то функции в таком-то модуле конкретно такие-то строки.<br><br>Ты чего-то перегнул. Если ты знаешь, КАКИЕ КОНКРЕТНЫЕ СТРОКИ в какой конкретной функции в каком модуле тебе нужны, значит, исходный код у тебя уже есть и запрашивать его нет нужды. Наверное имеет смысл запрашивать исходник того, чего у тебя нет и соответственно ты не сможешь указать конкретные строки. Проблема прям родственна проблеме курицы и яйца: чтобы затребовать исходник, нужно иметь исходник (чтобы указать конкретные строки) - как же ты его получишь в первый раз?<br> https://www.opennet.ru/openforum/vsluhforumID3/89919.html#72 Fri, 10 May 2013 19:16:45 GMT &gt;&gt;нет уверенности в том, что какой-либо пристойный стиль программирования позволяет обойтись без таких "ошибок" <br>&gt; Строго говоря, в чистом функциональном программировании им места, вроде, нет.<br>&gt; Как, впрочем, и инициализации как таковой.<br><br>Какое это имеет отношение к языкам C и C++? Говоря о стиле программирования, я имею в виду нечто типа /usr/src/linux/Documentation/CodingStyle или то, что вы можете почитать если вгоните в консольку команду "info Standards".<br><br><br>&gt; Как, впрочем, и инициализации как таковой.<br><br>Как впрочем и переменных, как таковых. ;)<br> https://www.opennet.ru/openforum/vsluhforumID3/89919.html#71 Fri, 10 May 2013 15:00:44 GMT &gt; Вы, похоже, как и многие, зациклились на виртуализации, причём именно x86-виртуализации... <br>&gt; Грустно.<br><br>Увы да.Потому,что виртуализация представленная в линукс-наиболее приемлемая для x86.<br>А на POWER,s390 она своя,средствами подсистем процессора+подсистем ОС AIX,z/OS,<br>и никому в здравом уме не взбрендит ставить туда linux,поднимать на этих машинах виртуализацию с XEN/KVM на linux для рабочих нагрузок.<br>На SPARC/SPARC64 тоже своя,средствами подсистем процессора+подсистем OC SOLARIS,<br>и никому в здравом уме не взбрендит поднимать на этих машинах виртуализацию с XEN/KVM,<br>так же никому в здравом уме не взбрендит пробовать ставить на эти машины что-то отличное от SOLARIS,в том числе и OpenBSD для рабочих нагрузок.Да работает,но только у тех,кто <br>решил просто поиграться,т-е это не серьёзно,попробуйте поищите машины с SPARC64 на борту,работающие на OpenBSD в реальном продакшене.Если у вас имеются такие примеры буду очень признателен,если сообщите их координаты.<br><br>&gt; А теперь давайте скажу по-другому: зачем з https://www.opennet.ru/openforum/vsluhforumID3/89919.html#70 Fri, 10 May 2013 07:41:16 GMT &gt;&gt; Можно говорить скорее о затратах ресурсов на выполнение тех <br>&gt;&gt; или иных операций.<br>&gt; Так о чём и речь.Это понятно,что можно запереться и за n-ое количество <br>&gt; времени портировать на openbsd,скажем,KVM,XEN или что-то другое,а потом начать решать <br>&gt; задачи этой <br>&gt; ОС,которые сейчас решаются на linux-ах,но с какого бодуна этим заниматься не понимают <br>&gt; все,кроме заядлых "бздишников".<br><br>Вы, похоже, как и многие, зациклились на виртуализации, причём именно x86-виртуализации... Грустно.<br><br>Насчёт портирования KVM/Xen/etc.: гостевая часть в OpenBSD уже есть и работает. В том числе, у меня в работе имеется несколько виртуалок на OpenBSD. Геморроя с настройкой которых было заметно меньше, чем с CentOS - про Debian не скажу, так как выбирал в своё время между платформами Debian и RH, выбрал вторую по причинам, как мне казалось, бОльшей знакомости остальным членам коллектива... но это уже совсем другая история.<br><br>А теперь давайте скажу по-другому: зачем заниматься виртуализацией на x86, когда она уже много ле