昨日、The Linux Foundationは、近年、年間2,000ドルの寄付で苦しんでいるOpenSSLのような困Openしたオープンソースプロジェクトを財政的に支援するCore Infrastructure Initiative (CII)プロジェクトの立ち上げを発表しました。
公式のプレスリリースで、The Linux Foundationは、経済的支援の必要性はOSSコードの質の低さとまったく関係がないことを強調しています。 フリーソフトウェアは、コードの品質とセキュリティの点で独自のソフトウェアよりも優れています。 これを支持して、The Linux Foundationは最新のCoverity Open Scan調査に言及しました。その結果は、Heartbleedバグに関する情報の公開から1週間後の4月15日に公開されました。
出版の瞬間が、もっぱら失敗したものに選ばれたことは明らかです。 誰もが、そのようなバグがどのようにオープンソースに侵入し、今後これを防ぐ方法について議論しました。 まだ答えはありません。 おそらく、CIIからの数百万ドルが問題の解決に役立つでしょう。
この状況では、オープンソースソフトウェアコードの品質が、専有ソフトウェアのコード品質よりも実際に客観的に優れていることを理解することが重要です。 比較的言えば、OpenSSLコードが開かれていない場合、この脆弱性について知らなかった可能性があります。
コベリティは、米国国土安全保障省から委託されたプロプライエタリおよびオープンソースプロジェクトの静的コード分析を常に実施しています。 この作業は、コード品質を評価するために広く受け入れられている標準と考えられています。
最新の2013 Coverity Scan Open Source Reportは、NetBSD、FreeBSD、LibreOffice、Linuxを含むC / C ++の741個のオープンソースプロジェクトからの7億5,000万行のコードの分析、および同じC / C ++。
主な結論は、このような研究を行って8年ぶりに、C / C ++の無料プロジェクトのコード品質が独自のプロジェクトのコード品質を超えたということです。 コードの1000行あたり1つ以下のエラーが高品質の標準と見なされるという事実にもかかわらず、Coverityソフトウェアはオープンソースプロジェクトでは1000行あたり0.59エラー、独自のプロジェクトでは0.72エラーを特定しました。
「オープンソースは、あらゆる規模のプロジェクトでプロプライエタリソフトウェアの品質を上回りました。これは、開発中のテストに対するオープンコミュニティの強いコミットメントを再び強調しています」とコベリティのプレスリリースは述べています。
CIIイニシアチブに戻って、The Linux Foundationは、問題はオープンソースの低品質、近年のソフトウェアの複雑化、より多くのプラットフォームをサポートする必要性ではないと説明しています。 追加のリソースが必要であるため、これが資金調達の理由です。