Ik vrees dat je twijfel veroorzaakt wordt door:
(a) je onbekendheid met het onderzoek en de gehanteerde maat voor kwaliteit
(b) je onbekendheid met de forma Coverity
Aan beide manco's is (met de enige inspanning) wel wat te doen.
De firma Coverity kan je op Googelen. Als eerste kijk je dan natuurlijk op Wikipedia, en dat leert je dat deze firma software tools maakt foor statische analyse van broncode. Zo'n beetje als PC-lint, maar dan beter.
Deze firme wordt betaald voor het leveren van dit soort software, en soms voor het draaien ervan. Bij wijze can reclame draaien zij alle bekende Open Source projecten door hun checker, en brengen de maintainers dan op de hoogte van alle dubieuze constructies en codeerfouten die zij hebben gevonden.
Dit leert je meteen welk perspectief deze firma hanteert voor "code-kwaliteit". Bot gesteld: als jij C++ code schrijft die geen enkele warning triggert bij compilatie en die netjes alle buffer overruns afvangt, dan is je code van "hoge kwaliteit". Ongeacht of je code wat zinnigs doet of hoe efficient/inefficient dan wel gebruiksvriendelijk je dat doet.
Daar ligt het antwoord op jouw opmerking over die bugs. Dat zijn blijkbaar fouten in de *werking* van PHP, die echter vervat zijn in C++ code van hoge kwaliteit (in termen van NULL pointers, ongeinitialiseerde variabelen etc. etc.).
Het rapport kan je hier vinden:
http://www.coverity.com/l...urce-integrity-report.pdf
Als je het rapport leest, dan zie je bijvoorbeeld deze zinsnede:
As open source adoption continues in commercial software development, a commonly asked question is, “How does open source software stack up against proprietary software?”
This year’s report marks the first time we are making a comparison between the quality of open source software in a sample of active projects in Scan and a representative sample of proprietary codebases from anonymous Coverity users across a variety of industries. What we found is that when comparing codebases of similar size, quality is on par across open source and proprietary software.
en verderop:
This year’s analysis led us to our final set of findings:
Proprietary codebases that leverage automated testing such as static analysis have quality above average
for the software industry.
Open source quality is on par with proprietary code quality, particularly in cases where codebases are of
similar size.
Simpelweg wordt gesteld dat:
(1) de code-kwaliteit (in termen van fouten die statische code-checkers detecteren) van firma's die statiscche code-checkers gebruiken duidelijk beter is dan het gemiddelde in de industrie (die dergelijke checkers niet gebruiken). Ligt voor de hand natuurlijk, maar ook dit soort fouten zijn fouten
(2) de code-kwaliteit van OS projecten ongeveer gelijk is aan die van goede (gedefinieerd als projecten die gespitst zijn op fouten die statische code-checkers opsporen) closed-source projecten. Ligt ook voor de hand, want deze OSS projecten doen moeite om de door Coverity scans gevonden fouten te verbeteren.
Al met al is er niets "twijfelachtigs" aan het onderzoek. Je moet het alleen wel goed interpreteren, en dat kan je alleen maar als je even leest wat er aan de hand is.