Open-Source-Software ist weniger fehlerhaft als proprietäre Projekte

Rainer Schneider,
DeveloperIT-ProjekteOpen SourceSoftware
Linuxquestions.org hat Nutzer in 30 Kategorien nach der populärsten Open-Source-Software gefragt (Bild: Shutterstock / Bildagentur Zoonar)

Eine neue Studie der auf Qualitätssicherung und Softwaretests spezialisierten Firma Coverity kommt zu dem Ergebnis, dass Open-Source-Software zum ersten Mal höhere Qualität liefert als viele proprietäre Projekte es tun. Im Zuge des Heartbleed-Bugs in OpenSSL war dies zuletzt einmal mehr bezweifelt worden. Als Grundlage des Coverity Scan Open Source Reports dienen 750 Millionen in C und C++ geschriebene Codezeilen aus über 700 Projekten.

Coverity
Beispiel für einen Scan durch Coverity (Screenshot: Coverity)

Die “Defekt-Dichte” öffentlich entwickelter und einsehbarer Software liegt mit 0,59 pro 1000 Zeilen Code deutlich niedriger als bei Code, welcher von Entwicklern in großen Unternehmen geschrieben wurde. Dieser weist nämlich 0,72 Defekte auf 1000 Zeilen auf. Vor allem Linux nennt Coverity als Beispiel für hochwertigen Code. Für Java-Projekte könne die nicht relationale verteilte Datenbank HBase (die auf Hadoop aufbaut) als Paradebeispiel gelten, wie es heißt.

Im Rahmen solcher Berichte misst Coverity seit nunmehr sechs Jahren die Qualität von quelloffener Software. Hierfür bezieht sich das Unternehmen auf führende Open-Source-Projekte wie LibreOffice, FreeBSD, Apache Hadoop und Cassandra. Zudem hat es den Entwicklern mit seinen Untersuchungen auch bei der Beseitigung von mindestens 94.000 Fehlern geholfen. Die Hälfte davon stammt aus dem Jahr 2013.

Die Zeit, die Linux-Entwickler für die Behebung eines Fehlers benötigen, ist darüber hinaus von 122 Tagen im Jahr 2008 auf 6 Tage 2013 gesunken. Die Defekt-Dichte des freien Betriebssystems beträgt dabei 0,61 pro 1000 Zeilen.

Angesichts des Heartbleed-Bugs kam in den vergangenen Tagen wieder Kritik an der Sicherheit quelloffener Software auf. Der für den Bug verantwortliche Programmierer Robin Seggelmann hat gegenüber der britischen Tageszeitung Guardian zugegeben, “die nötige Validierung aus Versehen unterlassen” zu haben, nachdem er den fehlerhaften Code an Silvester 2011 einpflegte.

Jedoch kann Seggelmann nicht allein für den Heartbleed-Fehler verantwortlich gemacht werden, da auch andere Community-Mitglieder den OpenSSL-Code den gängigen Prüfungen unterzogen haben. Obwohl dabei nichts gefunden wurde, betont Seggelmann, so zeige doch allein schon die Tatsache, dass das Problem überhaupt je entdeckt wurde, wie wertvoll im Quellcode zugängliche Programme wirklich sind.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Open Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Lesen Sie auch :

Sicherheit: Experten finden Schwachstellen im Android-Kernel
Rainer Schneider
Autor: Rainer Schneider
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen