Ab sofort ist der Scan Report on Open Source Software 2008 öffentlich zugänglich. Die Scan-Seite von Coverity (www.coverity.com), führend bei der automatischen Optimierung von Softwarequalität und –sicherheit in C/C++ und Java, wurde mit Unterstützung des U.S. Department of Homeland Security im Rahmen des 'Open Source Hardening Project' der US-Regierung entwickelt. Der Bericht ist das Ergebnis einer zwei Jahre währenden, mehrfachen Analyse von über 55 Mio. Code-Zeilen aus 250 weit verbreiteten Open-Source-Projekten mit Hilfe von Coverity Prevent, der führenden Lösung für die statische Quellcodeanalyse.
Zu den auf der Scan-Site analysierten Open-Source-Projekten zählen einige der am weitesten verbreiteten Anwendungen der Welt, darunter der Apache-Webserver und das Linux-Betriebssystem. Die Analyse des Quellcodes über die Scan-Site kann von ausgewählten Open-Source-Projekten unter folgender Adresse gebührenfrei vorgenommen werden: http://scan.coverity.com

Der Umfang der Analysedaten, die im Scan Report on Open Source Software 2008 vorgestellt werden, übersteigt jede andere existierende Zusammenstellung von Codeanalysedaten: Er umfasst 14.238 einzelne Analysedurchläufe bei insgesamt fast 10 Milliarden, im Verlauf von zwei Jahren analysierten Codezeilen.
Zudem enthält der Bericht Schlussfolgerungen, die hinsichtlich der Beziehung zwischen Variablen wie Umfang einer Codebasis, Defektdichte, Funktionslänge sowie Komplexität nach McCabe (zyklomatisch) und Halstead auf quelloffene und kommerzielle Software gleichermaßen zutreffen. Zusammenfassend liefert der Scan Report on Open Source Software 2008 folgende Ergebnisse:
• Die Qualität und Sicherheit von Open-Source-Software steigt: Forscher der Scan-Site stellten fest, dass die Defektdichte in den vergangenen beiden Jahren um 16 Prozent sank. Das entspricht der Eliminierung von mehr als 8.500 Einzeldefekten.
• Bestimmte Defekttypen überwiegen: Laut Bericht gibt es einen klaren Unterschied in der Häufigkeit des Auftretens einzelner Defekttypen in der Scan-Datenbank. Der am häufigsten auftretende Fehler ist die 'NULL-Pointer-Dereferenzierung'; am seltensten wurden Defekte des Typs 'Verwendung vor dem Testen mit negativen Werten' beobachtet.
• Durchschnittliche Funktionslänge im Verhältnis zur ermittelten Defektdichte: Entgegen der traditionellen Lehrmeinung zeigen die Daten im Bericht, dass Projekte mit großer durchschnittlicher Funktionslänge nicht automatisch eine höhere Defektdichte aufweisen.
• Komplexität nach McCabe (zyklomatisch) und Halstead: Die Ergebnisse bestätigen, dass diese beiden Kennzahlen für die Code-Komplexität stark mit der Größe der Codebasis korrelieren.
• ‚False Positive’ Ergebnisse: Die durchschnittliche Rage von ‚False Posivite’ Ergebnissen, die Open-Source-Entwickler auf der Scan-Site identifizierten, liegt unter 14 Prozent.

Ausführliche Daten und Analysen dieser und anderer Ergebnisse stehen im vollständigen Scan Report on Open Source Software 2008, der auf der Webseite von Coverity www.coverity.com zum kostenfreien Download bereit steht (Library).

Die Scan-Site http://scan.coverity.com von Coverity wurde mit Unterstützung des U.S. Department of Homeland Security im Rahmen des 'Open Source Code Hardening Project' der US-Regierung entwickelt. Die Open-Source-Projekte auf dieser Site befinden sich jeweils auf einer bestimmten Stufe, die vom Fortschritt bei der Fehlerbeseitigung bestimmt wird.

Website