帝國反抗君 - PowerOp

標題下的很明確，就是要講Coverity這家公司。不過，接下來讓我兜個大圈子，從Ethereal的版本號狂跳講起吧。

我在如何收到自由軟體套件更新通知？這篇網誌，有提到我有在盯Ethereal的新版本。

前一陣子，發現它的版本號從0.10.14一跳跳到0.99.0，於是興沖沖的去看看發行摘要

我注意到這一段：

Under a grant funded by the U.S. Department of Homeland Security,[10]Coverity has uncovered a number of vulnerabilities in Ethereal:

哇，米國的國土安全部出錢耶，Coverity這個公司真行，竟然可以要到政府經費來檢查自由軟體的程式臭蟲:) 那篇產出的報告"Stacking up the LAMP stack: a study of open source quality"，應該就是這裡的第一篇(Open Source Quality Report)，註冊就可以看到。

重點來了，到底這些自由軟體的軟體品質如何呢？這裡列出了超過50個自由軟體專案，以及Coverity用自家的分析工具(註1)，自動分析出來的結果。其中的"Defect Reports / KLOC"是一個值得參考的數據，分母是1000 lines of code（千行程式碼），分子是瑕疵報告。也就是說，平均每千行程式，有多少問題。

當然，網頁的底下有說可能會有誤判(false positives)，不過看看這些知名的自由軟體專案，已經累積了多少行的程式碼，平均的coding品質又如何，蠻有意思的。不過，這邊不打算故意挑出幾個對照組，以免引起口水戰:p

想看到其他專案被加入這個品質分析嗎？似乎可以寫信去要求喔：

If you have any questions or would like to request additional
projects to be added to this, please email scan-admin@coverity.com

延伸閱讀：
開原碼抓蟲計畫成果豐碩 from CNET Taiwan
software validation 小記 from Jserv's Blog
Homeland Security report tracks down rogue open source code from The Register

(註1)那個分析工具本身應該不是自由軟體，不過，我相信它會藉著不斷拿自由軟體來「練功」，越來越茁壯:p 他們網頁上有免費試用，似乎沒有限制一定要是自由軟體，也就是說，如果妳是一套私有軟體程式碼的擁有者/公司，應該也可以試用他們的分析工具。