https://www.opennet.ru/openforum/vsluhforumID3/95429.html Компания Coverity, развивающая инструментарий для автоматического анализа кода на предмет наличия проблем безопасности и ошибок опубликовала (http://www.coverity.com/press-releases/coverity-scan-report-finds-open-source-software-quality-outpaces-proprietary-code-for-the-first-time/) отчёт (PDF (http://softwareintegrity.coverity.com/rs/coverity/images/2013-Coverity-Scan-Report.pdf), 390 Kб) с результатами изучения 936 млн строк кода на C/C++, охватывающих 740 наиболее активно разрабатываемых открытых проектов (252 млн строк кода) и 493 проприетарных продуктов (684 млн строк кода). <br><br><br>Впервые за многолетнюю практику проведения аналогичных исследований, по своему качеству открытое ПО заметно опередило проприетарное - уровень дефектов в открытом коде составил 0.59 ошибок на 1000 строк кода, в то время как в проприетарном ПО данный показатель составил 0.72 (в прошлом году при сравнении примерно в два раза меньшей кодовой базы соотношение было 0.69 против 0.68). При этом, следует иметь в виду, что требования пром https://www.opennet.ru/openforum/vsluhforumID3/95429.html#314 Thu, 01 May 2014 09:10:13 GMT &gt;&gt; в опен-сорсе баг исправляется по мере выявления, а у проприетарщиков "когда выйдет обновление"<br><br>&lt;fixed&gt;в опен-сорсе баг исправляется по мере выявления, а у проприетарщиков два раза в месяц&lt;/fixed&gt;<br> https://www.opennet.ru/openforum/vsluhforumID3/95429.html#313 Sat, 26 Apr 2014 12:36:19 GMT Dear Scan Project Maintainer,<br><br>We wanted to share with you that we have updated the analysis capabilities in Coverity Scan <br>to find the Heartbleed bug. This functionality is now available for all the projects.<br><br>To check if your project has the Heartbleed bug, make sure you are using the Coverity build tool (7.0.2),<br>which was updated last month at https://scan.coverity.com/download. If you are you using right version, <br>just submit your build and look for any new defects found by the TAINTED_SCALAR checker.<br><br>Check out our blog on Heartbleed at http://blog.coverity.com/2014/04/18/coverity-heartbleed-part-2 or <br>join our upcoming webcast to learn more http://bit.ly/1p482Xy.<br>In the same webcast we will also discuss the top defects found and fixed in open source projects in 2013 <br>and discuss the best practices for improving product quality adopted by leading open source projects.<br><br>Please contact me if you have any questions or concerns.<br><br>Regards, Dakshesh Vyas<br><br>Coverity Scan Administrator<br>Coverity https://www.opennet.ru/openforum/vsluhforumID3/95429.html#305 Wed, 23 Apr 2014 06:20:42 GMT &gt;&gt; Впереди чего, "планеты всей"? Ну , исполать :-) <br>&gt; Не очень понимаю: зачем ты второй сорт жрешь? Денег на мак не <br>&gt; хватило? Или отлизывать Де Биллу не нравится? :) <br><br>Ты о чем? :-) Умну рабочая ось это яббло, а линупс всего лишь увлечение. Как им самим так и "сообществом" :-)<br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/95429.html#302 Tue, 22 Apr 2014 15:43:32 GMT Вы только лишний раз подтвердили высказанный тезис :-)<br> https://www.opennet.ru/openforum/vsluhforumID3/95429.html#301 Tue, 22 Apr 2014 15:21:49 GMT &gt; Баг ---^ :) <br><br>Больше восьми символов уже тяжело?<br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/95429.html#300 Tue, 22 Apr 2014 14:34:10 GMT &gt;&gt; Теперь скажите, много ли таких как вы? :-) <br>&gt; А это не так уж важно. Важно то что наступив на баг <br>&gt; мы можем с ним сделать что-то осмысленное. Зарепортить, локализовать в коде <br>&gt; и помочь придушить, чтобы нам было сухо и комфортно. А не <br>&gt; как у проприерасов - "пишите в спортлото".<br><br>Зарепортить можно и в мелкософт. Остальным занимается слава богу если полпроцента пользователей линукса.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/95429.html#299 Tue, 22 Apr 2014 14:30:44 GMT &gt;&gt; Что демонстрировать - наличие багов и там и там или наличие долгоиграющих <br>&gt;&gt; багов тоже и там и там?<br>&gt; Что-то мне апдейт опенссл прилетел в пределах суток после анонса дыры. А <br>&gt; у MS фиксы - раз в месяц. Если фикс бага в <br>&gt; пределах суток и тормозизм целый месяц это примерно одинаково - ну <br>&gt; я даже и не знаю. У того же MS было немало <br>&gt; примеров когда выходил 0day а фикса не было неделями, так что <br>&gt; хаксоры успевали разломать все что похоже на компьютер с виндой.<br><br>То есть единственное преимущество что якобы быстрее, но если баг обнаружили за день до выпуска апдейта и исправление попало в апдейт, то и это преимущество иллюзорное<br><br> https://www.opennet.ru/openforum/vsluhforumID3/95429.html#298 Tue, 22 Apr 2014 07:54:52 GMT &gt; ХМ... кроме памяти в 90% кода приложения ничего и не используется. Внешние <br>&gt; запросы обрабатывает сервер и менеджит сессии/обработчики и т.п. Запросы к СУБД <br>&gt; менеджит Hibernate или MyBatis. Запросы через MQ/JMS и еже с ними <br>&gt; менеждатся либами для доступа к MQ/JMS.<br>&gt; Вопрос - какие ресурсы утекли в java приложении?<br>&gt; PS походу в проектах нашли JNI или иные низкоуровневые обращения с внешними <br>&gt; элементами и в этом огребли утечки.<br><br>Именно. JNI &#8212; это неподвластная GC связь байт кода с нативным кодом, выполняемым in-process в JVM. Нативный код много где используется в JRE для ускорения работы и уменьшения латентности Java. За это приходиться платить неконтролируемыми утечками (в том числе и памяти) на уровне брошенных дескрипторов ресурсов, с которыми должна уже разбираться операционная система, а информации по ним у неё не густо.<br> https://www.opennet.ru/openforum/vsluhforumID3/95429.html#297 Tue, 22 Apr 2014 07:39:55 GMT Ещё не расстреливают за это? Подобная хрень, есть и в Европарламенте, ни одну серьёзную наболевшую проблему, в частном порядке, не решишь, не нарушив при этом какой нибудь закон, за которым последует ещё более нервные процедуры урегулирования разногласий с дяденьками и тётями.<br>