米国国土安全保障省との オープン ソース強化プロジェクトによる調査 「Scan Report on Open Source Software 2008」を発表

2008 年 5 月 20 日 サンフランシスコ発 - C/C++ および Java プログラムのソフトウェアの品質とセキュリティを向上するリーディングカンパニーであるCoverity, Inc.（CEO:Seth Hallem、本社：米国カリフォルニア州サンフランシスコ、以下コベリティ）は、「Scan Report on Open Source Software 2008」の公開を発表しました。Coverity Scan サイトは、米国国土安全保障省からの支援を得て、連邦政府の「オープン ソース強化プロジェクト」の一環として立ち上げられました。このレポートは、業界最高レベルの静的ソース コード解析ソリューションである Coverity Prevent™ を使用して行われた、250 を超える一般的なオープン ソース プロジェクトの 5,500 万行以上のコードに対する2 年間にわたり繰り返された解析に基づくものです。

「コードの高品質性とセキュリティを既に備え持つプロジェクトが、そのクオリティをさらに向上し続けていることからも、高度に統合されたソフトウェアを作成する上でのオープン ソース開発者がどんなに全力を注いでいるかを明確に示しています。この 2 年間、オープン ソース コミュニティで作業を行ったことは、Scan サイトと Coverity のどちら側の開発者にとっても非常に貴重な機会でした。プレビュー リーダーからの暫定フィードバックに基づいて、レポートには欠陥密度およびコード複雑性に関する示唆に富む情報が記載され、ソフトウェアの本質に関する今後の研究の強力な基盤となる情報が提供されています。」と、Coverity のオープン ソース ストラテジストである David Maxwell は述べています。

Scan サイトで解析されたオープン ソース プロジェクトには、Apache Web サーバーや Linux オペレーティング システムなど、世界で最も普及しているアプリケーションが含まれています。Scan サイトのソース コード解析は、認定されたオープン ソース プロジェクトであれば http://scan.coverity.com から自由に利用できます。

「Coverity と FreeBSD プロジェクトの 3 年間にわたる緊密な協力は刺激的で非常に貴重なものでした。Coverity は FreeBSD のソース コードの正確性に関してプラスの影響をもたらし、FreeBSD のソフトウェア開発手法の向上を支援してくれました。」と、FreeBSD 財団の会長である Robert Watson 氏は述べています。

「Scan Report on Open Source Software 2008」で示された解析データの範囲と量は既存の他のコード解析データとは全く異なったものであり、2 年間で解析された合計約 100 億行に対する 14,238 の個々のプロジェクト解析の実行が示されました。

また、レポートは、コード ベースのサイズ、欠陥密度、関数長、循環的複雑度、Halstead Effort などの変数の関係に関して、オープン ソースにも商用ソフトウェアにも等しくあてはまるという結論に達しました。要約すると、「Scan Report on Open Source Software 2008」には、以下の調査結果が含まれています。

• オープン ソース ソフトウェアの品質とセキュリティは向上している - Scan サイトの研究者は過去 2 年間で静的解析欠陥密度が 16% 減少したことを観察しました。これは、8,500 以上の個々の欠陥が排除されたことを反映しています。
• 特定の欠陥タイプの広がり – レポートは、Scan データベース上での欠陥タイプの発生頻度について明確な特徴を示しています。「NULL ポインタの参照解除」は最もありふれた欠陥であり、「負の値のテスト前に使用」が最も発生の頻度の低い欠陥でした。
• プロジェクトの平均関数長と静的解析欠陥密度 – レポートのデータは従来の我々の認識と相反するものでした。つまり、平均関数長が長いプロジェクトは欠陥密度が高いという傾向を示しませんでした。
• 循環的複雑度と Halstead Effort – 調査では、コードの複雑性に関するこれら 2 つの指標は、コード ベース サイズと強い相関関係にあることを示しています。
• 誤検出結果 – Scan サイトでオープン ソース開発者によって識別された平均誤検出率は 14% 以下でした。

これらの調査結果及びその他の詳細なデータと解析は、www.coverity.com のリサーチライブラリで「Scan Report on Open Source Software 2008」完全版に記載されており、自由にダウンロードできます。

「オープン ソース テクノロジを使用した商用製品の強化と進化は一般的な戦略になりました。ベンダーはオープン ソースを製品に埋め込むことによってこの傾向を活用し続け、エンドユーザー企業は、オープン ソースが今や企業で使用できる状況であるということを認めようとしない企業に対し、安定したオープン ソース プロジェクトを優位性のある差別化要因として使用するようになります。2012 年までに、商用ソフトウェアの 80% 以上にオープン ソース テクノロジの要素が含まれるようになるでしょう。」と、アナリストの Mark Driver 氏は、最新の Gartner レポート「Open Source in Vendor Business Strategies, 2008」(2008 年 3 月 31 日発行) で述べています。

Scan サイトについて
http://scan.coverity.com/

Scan サイトは、米国国土安全保障省からの支援を得て、連邦政府の「オープン ソース コード強化プロジェクト」の一環として Coverity によって開発されました。このサイトでは、オープン ソース プロジェクトは各プロジェクトの欠陥解決の進捗状況に基づいたレベルに分類されます。高レベルのプロジェクトは追加的な解析機能と構成オプションにアクセスできるようなります。現在のレベルで識別された欠陥の大部分を解決すると、プロジェクトの昇格が行われます。

Coverity, Inc.（コベリティ インク）について
コベリティは、米国サンフランシスコに本社をおくソースコード解析ツール会社です。ソフトウェアの開発工程の初期段階で、重大なソフトウェア不具合およびセキュリティの脆弱性を自動的に解析、検出するコベリティ の画期的な技術は、ますます複雑化するソフトウェア開発を効率的に行うサポートをしています。コベリティ社の製品は、何千万行ものコードに対応するだけでなく、フォールス ポジティブ率（誤検知率）が非常に低く、100% のパスをカバーしており、すでに 400 社を超える有力企業が導入しています。 おもな顧客には、サムスン、Symantec/VERITAS、NTT、Synopsys、ACCESS、Wind River などがあり、コベリティ製品を利用して、ミッションクリティカルなコードのセキュリティや品質における不具合を検出し、品質の向上、開発の効率化に役立てています。同社の詳細は、http://www.coverity.com/index_jp.htmlでご覧ください。

Coverity は Coverity, Inc. の登録商標です。Coverity Extend およびCoverity Prevent は Coverity, Inc. の商標です。その他の会社名および商品名は各社の商標または登録商標です。

【本リリースに関するお問い合わせ先】
コベリティ 日本支社
PR担当：仲嶋
TEL: 03-5909-8838
Email: knakajima@coverity.com

【製品に関するお問い合わせ先】
コベリティ 日本支社
渡辺　晃一郎
TEL: 03-5909-8838
Email: kwatanabe@coverity.com