'Opensource bevat minder fouten dan propriëtaire code'

Wat ik ook een beetje mis is of de projecten vergelijkbaar zijn in professionaliteit. De closed source projecten worden door anonieme mensen aangeleverd, dus is hoe betrouwbaar is het dat de aangeleverde code ook in dezelfde staat van ontwikkeling is, en is het uberhaupt legaal dat het is gebruikt.

Plus het platform van Coverity is closed source als ik de site zo zie, dus die zou dus ook 0.64 fouten moeten bevatten per 1K regels code.

Het ziet er meer uit als een koop ons testplatform dan een daadwerkelijke studie die te verifieren is.

En een closed source project schaft natuurlijk sneller zo'n pakket aan dan een open source project.

Een kleine toevoeging:

Daarnaast is er van Open Source software 37 miljoen regels code gecontroleerd welke inderdaad bestonden uit een managed set van code (optimized voor de test) tegenover 300 miljoen regels closed source code (willekeurige code).

Statischisch gezien is het dus mogelijk dat er bij de closed source code een stuk code zat met zo een hoge dichtheid aan fouten volgens de meet methode, dat het gemiddelde van closed source beinvloed werd.

Uiteindelijk zegt deze test dan totaal niets en denk ik dat men in zowel closed source als open source afstand moet nemen van de resultaten omdat de resultaten te gekleurd zijn, de test manipuleerbaar is, de test set onvoldoende is.

Het is het zelfde als twee type's processoren testen of ze een bepaalde oc aankunnen, waarbij 1 fabrikant op voorhand mag cherrypicken terwijl de spullen van de andere fabrikant gewoon op de hoek gehaald wordt. Het resultaat staat vast in zo een geval, en dat geldt ook voor deze test.

Andersom is het trouwens ook zo dat de computer nog niet alle fouten van de programmeur kan detecteren.

Sterker nog: dat zal nooit kunnen.

is het niet zo dat die zaken juist aangeven dat ze erg druk bezig zijn met het controleren van kwaliteit en het fixen van fouten? Bij gesloten software heb je geen zich op dit soort zaken en weet je dus niet waar het om gaat.

Daarnaast zijn bugs een erg brede term

Ik vrees dat je twijfel veroorzaakt wordt door:

(a) je onbekendheid met het onderzoek en de gehanteerde maat voor kwaliteit
(b) je onbekendheid met de forma Coverity

Aan beide manco's is (met de enige inspanning) wel wat te doen.

De firma Coverity kan je op Googelen. Als eerste kijk je dan natuurlijk op Wikipedia, en dat leert je dat deze firma software tools maakt foor statische analyse van broncode. Zo'n beetje als PC-lint, maar dan beter.

Deze firme wordt betaald voor het leveren van dit soort software, en soms voor het draaien ervan. Bij wijze can reclame draaien zij alle bekende Open Source projecten door hun checker, en brengen de maintainers dan op de hoogte van alle dubieuze constructies en codeerfouten die zij hebben gevonden.

Dit leert je meteen welk perspectief deze firma hanteert voor "code-kwaliteit". Bot gesteld: als jij C++ code schrijft die geen enkele warning triggert bij compilatie en die netjes alle buffer overruns afvangt, dan is je code van "hoge kwaliteit". Ongeacht of je code wat zinnigs doet of hoe efficient/inefficient dan wel gebruiksvriendelijk je dat doet.

Daar ligt het antwoord op jouw opmerking over die bugs. Dat zijn blijkbaar fouten in de *werking* van PHP, die echter vervat zijn in C++ code van hoge kwaliteit (in termen van NULL pointers, ongeinitialiseerde variabelen etc. etc.).


Het rapport kan je hier vinden:

http://www.coverity.com/l...urce-integrity-report.pdf

Als je het rapport leest, dan zie je bijvoorbeeld deze zinsnede:

As open source adoption continues in commercial software development, a commonly asked question is, “How does open source software stack up against proprietary software?”
This year’s report marks the first time we are making a comparison between the quality of open source software in a sample of active projects in Scan and a representative sample of proprietary codebases from anonymous Coverity users across a variety of industries. What we found is that when comparing codebases of similar size, quality is on par across open source and proprietary software.

en verderop:

This year’s analysis led us to our final set of findings:
Proprietary codebases that leverage automated testing such as static analysis have quality above average
for the software industry.
Open source quality is on par with proprietary code quality, particularly in cases where codebases are of
similar size.

Simpelweg wordt gesteld dat:
(1) de code-kwaliteit (in termen van fouten die statische code-checkers detecteren) van firma's die statiscche code-checkers gebruiken duidelijk beter is dan het gemiddelde in de industrie (die dergelijke checkers niet gebruiken). Ligt voor de hand natuurlijk, maar ook dit soort fouten zijn fouten

(2) de code-kwaliteit van OS projecten ongeveer gelijk is aan die van goede (gedefinieerd als projecten die gespitst zijn op fouten die statische code-checkers opsporen) closed-source projecten. Ligt ook voor de hand, want deze OSS projecten doen moeite om de door Coverity scans gevonden fouten te verbeteren.


Al met al is er niets "twijfelachtigs" aan het onderzoek. Je moet het alleen wel goed interpreteren, en dat kan je alleen maar als je even leest wat er aan de hand is.

Ik denk dat ze bedoelen, je hebt direct toegang tot de broncode of je moet reverse engineeren.

Blijkbaar is de code die ze bekeken hebben niet representatief voor de gemiddelde code in software?

Op security.nl stond het een stuk beter uitgelegd. Als je alleen keek naar open source projecten die ongeveer evenveel regels code hadden als de closed source projecten, dan kwam je op een error rate van 0.62 uit (zie Linux kernel). Dat is waarschijnlijk gelijk aan de 0.64 van closed source als je aanneemt dat de standaard deviatie (die niet genoemd wordt) niet onder de 0.01 ligt. Gemiddelde waardes kun je niet blindelings vergelijken.

De software van Coverity zoekt op bepaalde types fouten (namelijk het soort dat je met static analysis en heuristics kunt vinden), en vind daardoor dus niet alle soorten fouten (conceptuele fouten of foute logica zijn bijvoorbeeld niet op deze wijze te detecteren).

Te veel updates, te weinig updates het is ook nooit goed

Ik ben blij dat ik zowat dagelijks updates krijg, sterker nog de security updates worden automatisch geïnstalleerd.

De overige update kan je negeren.

Anders gezegd, liever veel updates dan 1 maal in de maand.

ik krijg bij mijn Ubuntu 10 a 15 updates per week, waarvan er meestal 3 voor Firefox en 2 voor Apache/PHP/MySQL zijn de rest is systeem, dan heb ik toch liever "gratis" software dan Windows want daar heb ik er per week toch echt gemiddeld 20 a 25, inclusief basis programma's zoals Firefox en ms office. En ik vind het totaal niet erg om updates te krijgen ik heb liever dat er 40 updates zijn dan dat me systeem crasht omdat er ergens een bug zit die niet is opgelost.

ja, dat is echt een nadeel dat men fouten sneller update, schande dat ze zo'n goede service durven te leveren.

ja en windows heeft niet wekelijks tig updates voor windows office mediaplayers en ga zo maar door?

en dan heb je nog de grote bedrijven die software verkopen en vervolgens gewoon schijt aan je hebben ondanks dat er fouten in de software zitten

[Reactie gewijzigd door computerjunky op 24 februari 2012 20:40]

Niemand dwingt je de vrije software te installeren of om de updates te installeren.

Dat gebeurt in Windows ook hoor, om de dag zo'n beetje een nieuwe update van Java, Flash of Reader.... Of vallen die in jouw opinie ook onder die gratis software?

In Ubuntu kan je het tenminste helemaal automatisch laten gebeuren, in Windows kan dat niet want niet alle software wordt geupdate via Windows Update.

Verder kan je dit in Ubuntu precies zo aanpassen zoals je zelf wil; geen updates, alle updates, alleen security updates, en dan dagelijks, elke week, elke 2 weken etc.

Ik vind het juist fijn dat updates ASAP geinstalleerd worden (in kleinere brokjes) en niet na een jaar ofzo in een servicepack dat enkele honderden MB's groot is, wat enorm lang duurt om te installeren.

Je kan niet een hele beweging (OSS) in een hokje duwen omdat jij denkt dat het er zo aan toegaat... Vergroot je blikveld eens (try Debian stable).

Mijn ervaring met open source is dat het vaak vol zit met bugs in ieder geval.

mijn ervaring is eerder het tegenovergestelde, en ik ben toch al zeker 13 jaar bezig met OSS. Zelfs alpha versies die een keer per ongeluk (human error) op een productie systeem werden gezet waren dusdanig stabiel dat we ons serieus even hebben afgevraagd of we echt wel zouden downgraden.

Er staat toch dat ze naar de code keken? Zal dus niet om functies gaan aangezien dat ook helemaal niet logisch zou zijn als we het over een kernel hebben.

Er staat ook niet bij dat welke open source projecten ze onderzoeken, er waren gewoon 3 open source projecten van zeer hoge kwaliteit

[Reactie gewijzigd door bantoo op 24 februari 2012 17:46]