Open source heeft minder fouten, maar is ook minder veilig dan ‘commerciële’ software, volgens nieuw rapport

05 augustus 2015

Programmatuur die in huis ontwikkeld wordt, en software met licenties van de traditionele aanbieders, zijn minder kwetsbaar dan open source programmatuur, volgens Coverity – een bedrijf dat test-tools maakt.

Diezelfde traditionele leveranciers lossen zwakke plekken die ontdekt worden over het algemeen ook sneller op, stelt het rapport in kwestie . Maar hun software bevat wel meer fouten.

Coverity claimt ruim 14.000 commerciële en 5100 open-source pakketten geanalyseerd te hebben.

Zo testten de tools van Coventry ruim 500 miljoen regels code van 2650 open source pakketten, en vonden een ‘defect density’ van 0.61. Bij de pakketten waarbij wel sprake was van intellectueel eigendom van de broncode was de gemiddelde defect density 0,76.

Het aantal fouten in programmatuur blijkt over de jaren wel af te nemen. De kwaliteit van zowel open source als traditionele pakketten gaat de laatste tijd vooruit.

Volgens het rapport kost het gemiddeld 6 maanden om een zwakke plek in de beveiliging van pakketten afdoende op te lossen, maar de commerciële leveranciers zijn over het algemeen iets alerter en sneller.

Bij open source pakketten komt de ontwikkeling van nieuwe features vóór bug fixing; voor de grote leveranciers is betrouwbaarheid en compliance juist belangrijker, waardoor zij iets trager zijn met het toevoegen van nieuwe functies en mogelijkheden, maar sneller beveiligingsrisico’s oplossen.

Arne Lasance