MySQL代码缺陷数量至少比商业数据库少3倍

【赛迪网讯】美国西部时间2月4日,测试厂商Coverity公司发表声明,称对MySQL数据库软件的源代码进行分析后,结果表明其缺陷数量远远小于商业数据库软件的水平。

Coverity公司的首席执行官塞思表示,使用Co verity公司自己的工具进行的分析在MySQL数据库软件中发现了97处缺陷,其中至少包括一个严重的安全缺陷。他指出,但是,与大多数的商业数据库软件相比,这一数字是相当小的。塞思指出,就业界平均水平而言,MySQL是极其优异的。

对于软件开发商而言,源代码分析工具正在迅速成为必不可少的工具。微软公司利用它自己的工具对其软件产品进行分析、查找和修正缺。包括 Ounce Labs和Reflective在内的其它厂商则向各大公司销售它们的分析工具,Coverity的客户就包括思科和甲骨文。

MySQL公司负责营销的副总裁乌洛克尔说,他们已经与Coverity进行了联系,要求获得其审计报告。他说,我们已经修正了报告的所有缺陷,在新版软件中它们将不复存在。

尽管分析工具无法发现所有的软件缺陷,但它能够有效地发现某些种类的软件缺陷。在许多情况下,这些缺陷都比较容易被发现。由于许多分析工具都允许被免费使用在非商业性项目中,因此开放源代码项目通常会利用分析工具对代码进行分析,降低受到攻击的可能性。

消除缺陷并非这类工具的唯一用途。许多IT专业人士都利用分析工具衡量、比较二种代码质量。赛思说,尽管存在一定的问题,但缺陷数量少于100表明,MySQL数据库软件的代码质量很高。

据全美电脑安全合作计划组织放下的软件生命周期工作组在4月份发布的报告称,在商业软件中,平均每1000行代码中有1-7个缺陷。而Coverity对MySQL的分析发现,平均每4000行源代码中只有一个缺陷,至少比商业软件少了3倍。

在早期对Linux内核的分析表明,在570万行代码中存在985个缺陷,平均1万行代码中只有不到一处缺陷。乌洛克尔表示,这次分析的结果与过去相似,即开放源代码软件更“干净”,结构也更好。他说,开放源代码软件的开发方式能够促使编程人员编写更“干净”的代码,因为他们编写的代码将接受其它的考验。

赛思表示,通过对Linux、MySQL进行分析,Coverity已经完成了对开放源代码Web服务器常用的4个组件中的2个进行了分析,他们将在近期对另外二个组件━━Apache Web服务器软件、PHP Web脚本语言进行分析。

技术相关: