Coverity Scan 2010开源软件质量报告指出Android存在高风险软件缺陷
将近半数Coverity Scan发现的开源软件缺陷归类为高风险
San
Francisco, Calif. – November 2, 2010 –Coverity,软件完整性检测领域的领导者,今天发布了Coverity
Scan 2010开源软件完整性报告的结果。这份报告是公共——私营合作的关于开源软件完整性的最大研究项目的结果,最初由Coverity和美国国土安全部在2006年启动。Coverity
Scan开源软件完整性报告的2010版详细描述了分析超过61
million行开源代码的最新发现,这些代码来自于291款流行且广泛使用的开源项目,比如Android,
Linux, Apache, Samba, and PHP等。
Coverity Scan服务使用Coverity® Static Analysis自动化测试开源社区提交的开源代码,这份报告是分析过程中的发现的汇总。
Coverity Scan 2010开源软件完整性报告的亮点包括:
Coverity测试的Android内核发现了359个软件缺陷。这个内核版本可能被用在流行的手机和其他基于Android的设备。
· 在Android中25%的缺陷标记为高风险,可能导致潜在的安全漏洞和系统崩溃
· Coverity Scan在开源项目中发现的缺陷将近半数属于高风险。
· 在Android和其他开源项目中发现的高风险缺陷通常会在项目发布前被Coverity的客户消除。
· 在开源软件中常见的缺陷仍然是内存破坏、空指针和资源泄漏。在产品中,这些缺陷会导致系统崩溃和安全漏洞。
至今为止,Coverity首次发布具体开源项目的细节,始于Coverity
Scan 2010开源软件完整性报告的Android
kernel 2.6.32(“Froyo”)。根据Google的数据,每天超过65,000台Android设备启用。另外,Android希望在2012年成为第二大智能手机操作系统,达到全球市场份额的18%。
“在移动设备企业,像Android这样的开源软件被融入到OEMs的软件供应链中。这对使用在现代移动设备中的开源代码的可见性提出了更高要求。” Andy Chou说,Coverity首席科学家和创始人之一。“Coverity的目标是帮助开源软件的开发者发现和处理自身代码中的缺陷,并且帮助Coverity的客户知道他们正在产品和服务中使用什么。”
“Coverity Scan分析Android kernel得到的软件缺陷密度优于平均缺陷密度,意味着这个内核比同等规模的企业软件均值具备更少缺陷。”Chou继续说.“但是,这些缺陷中包含大量高风险类型,通常我们的客户会在产品推向市场前消除这些缺陷。我们相信,在缺陷变成问题之前,强调这些风险为开发者和OEMs提供了处理这些缺陷的机会。”
Android Kernel测试细节
Coverity软件完整性报告关于Android kernel的部分基于分析Android
kernel 2.6.32 ("Froyo").被分析的内核用于智能手机操作系统,特别是HTC
Droid Incredible。除了标准内核之外,被测版本包含无线、触摸屏支持和照相机驱动。内核源代码由HTC Developer Center提供。Coverity计划重新测试Android内核,并且报告缺陷密度和高风险缺陷的状态。
获取Coverity Scan 2010开源软件完整性报告的Android kernel数据,可到www.coverity.com注册下载。