|
Coverity Scan 2010 開放源碼完整分析報告 揭露出Android中的高風險瑕疵 + F4 A! |/ h) ?* }
將近一半的開放源碼部分被列為具有高度風險
/ H% z% Q& Z2 F- o1 V, w% G! D . q* D! i( n" _' e! {
Coverity公司宣布Coverity2010年的開放源碼完整分析報告。這份報告從2006年起,每年由Coverity和美國國土安全部共同合作。2010年版的Coverity公司開放源碼完整分析報告詳細分析了超過 61萬行的開放源碼,包含目前被廣泛使用的各類開放性原始碼,如Android,Linux,Apache,Samba及PHP等等。
9 `7 K A$ v/ j, \- W
- d- ?& v/ _* r( L/ ]Coverity Scan使用的是Coverity® Static Analysis技術,透過開放源碼社群分析所提交開放源碼專案,針對分析報告中的結果做重點式的條列。
9 Y* _0 n# j2 J+ n3 R7 {
; m1 h0 R) ?/ }/ i3 cCoverity Scan 2010開放源碼完整分析報告提出的重點包含:
9 ~7 w2 e3 T0 t
0 C/ b! g: e ?% r T. C" w•Coverity 揭露了Android kernel中的 359個程式碼缺陷,而這可能是一個將在市場上快速流通的設備可能使用的系統平台。
- Q( {; t( g, ^: \, _% r9 t•其中有百分之二十五的瑕疵,可能造成具有高風險性的安全弱點。
5 i: q- A' X" i•在被發現的程式碼瑕疵中,有將近一半的開放源碼被列為具有高度風險。
+ P) j a, ?/ D, P' x4 n•在Android及其他開放源碼專案中被發現的高風險瑕疵,若是使用Coverity事先掃描的客戶在專案完成前就會被發現並且標示,換句話說在出貨前就會被修正。$ r1 t2 @3 F# M" g
•於開放源碼中常見的瑕疵通常是會導致系統當機或是安全性漏洞的問題,例如memory corruptions,NULL pointer dereferences,以及 resource leaks。 |
|