“Wenn es darum geht, in einem Flugzeug den Atlantik zu überqueren, glauben Sie mir, dann wollen Sie proprietär fliegen.” Diese Meinung vertritt Benjamin Chelf, Chief Technology Officer des Sicherheitsspezialisten Coverity – und neutralisiert damit eines der wichtigsten Argumente der Open-Source-Befürworter: Viele Augen finden viele Fehler. Coverity hat bislang 50 der bekanntesten Open-Source-Projekte und proprietäre Software von 100 Firmen auf Bugs getestet. Das Resultat: Die Open-Source-Software (OSS) enthält mehr Fehler als die proprietäre. So war etwa die proprietäre Software einer Luftfahrtgesellschaft fünfmal besser als die beste OS-Software.
Wie können wir diese Situation retten? Benjamin Chelf antwortet in seinem Bericht darauf mit “es ist möglich, aber noch nicht jetzt”. Die OS-Community müsse sich aus ihrem Mikrokosmos verabschieden, der nur mittelmäßige Software hervorbringt, so Chelf. Sie müssten von den besten der Closed-Source-Szene lernen, etwa was Qualitätssicherung und Entwicklungsstrategien angeht.
Ein Trend, den Chelf hervorhebt, ist die automatische Qualitätssicherung, in der eine Maschine (also Software) Software testet. Dieser Trend könne auch OS-Software helfen, besser zu werden. Dieser Hinweis scheint nicht ganz uneigennützig, denn Coverity hat sich selbst einen Namen damit gemacht, OS-Software mit Automatismen zu testen. Chelf kommt zu dem Schluss, dass OS-Software den Mainstream erreichen wird, weil eine offene Entwicklung einfach zuviele Vorteile sowohl für Entwickler als auch für Anwender bietet. Voraussetzung dafür ist allerdings eine Verbesserung der Code-Qualität.
So war etwa die proprietäre Software einer Luftfahrtgesellschaft fünfmal besser als die beste OS-Software.
Ehrlich gesagt: Ich würde nicht fliegen, wenn ich mich nicht darauf verlassen könnte…
Und gleich die Einschränkung darauf: Dieses Stück Software hat wahrscheinlich eine Qualitätssicherung erfahren, die man sonst nie und nimmer treiben kann, schlicht aus dem Grund, weil es zu teuer wäre. Das ist ein sehr hochspezialisierter Code, der nur in einer bestimmten Umgebung laufen wird.
Also in kaum einer Hinsicht mit herkömmlichen Programmen zu vergleichen, die mit unterschiedlichsten Randbedingungen klarkommen (müssen).
So was tut schon weh! Da frage ich micht doch erst mal: Auf welcher Grundlage hat er denn getestet? Das geht aus dem Artikel schon mal gar nicht klar hervor. Des Weiteren scheint die Seite offensichtlich mit OSS hergestellt zu sein, denn ein Teil ist gar nicht lesbar durch Werbung verdeckt! (Vorsicht, Zynismus) Die Stichprobenauswahl ist sehr fraglich: Die proprietäre Gruppe umfaßt 100 Testobjekte und die OSS- Gruppe nur 50. Zum ersten ist eine solch unterschiedliche Größe der Stichprobengruppen fraglich und zum zweiten kann ich nirgendwo nachvollziehen nach welchen Kriterien die Auswahl der Probanden vorgenommen wurde. Wurden hier vielleicht Äpfel… Mehr »
Hi Coverity bietet als Dienstleistung diesen Quellcode-Check an, gegen Geld. Manche OSS-Projekte haben auch schon eine kostenlose Analyse gekriegt. Das nur mal als Randbemerkung. Coverity testet auf Quellcode-Ebene, daher ist die Umgebung als solche irrelevant; man geht von stabilen und korrekten Schnittstellen aus. Dann wird da einfaches Pattern-Matching gemacht, sondern (alles folgende Spekulation) wahrscheinlich auf abstrakten Syntaxbaum zerlegt und darauf dann darauf Datenfluss-Analysen gefahren. Damit findet man jede Menge un-initialisierte Variablen und Zeiger, doppeltes Freigaben von Speicher (double free) und mittels weiterer, dann recht einfacher Analysen, noch einen ganzen Sack weiterer Probleme, die sich manchmal zu Schwachstellen ausbauen lassen, zu… Mehr »
Die Frage ist, ob man die Patterns einfach so vergleichen kann. Vielleicht liegen Unterschiede in der Syntax auch einfach in den Vorlieben der Programmierer. Das heißt noch lange nicht, daß ein Programm dadurch fehlerhafter ist oder nicht. Möglichkeiten der Anpassung gibt es immer, bei der OSS vielleicht sogar mehr als bei der proprietären Software. (Aber das ist jetzt pure Spekulation) Sicher verdient er nichts mit fehlerhafter OSS, aber er schreibt für ein Blatt, das sich nicht nur über den Verkauf, sondern auch über Werbung finanziert. Und viele Werbekunden sind Hersteller proprietärer Software. Von daher ist schon eine Tendenz der Zeitschrift… Mehr »
Der hat wohl vergessen Windows mit einzubeziehen in seinen Test. Das hätte das Ergebnis schlagartig gedreht. Da hätte dann auch keine noch so gute Flugzeugsoftware geholfen. Wobei ich da noch sagen muss, dass ich davon ausgehe, dass Software, wie sie beispielsweise in Flugzeugen Anwendung findet, absolut (sagen wir besser nahezu) Fehlerfrei zu sein hat.
Solche Vergleiche sind doch offensichtlich nur sinnvoll, wenn in beide Produkte auch ein ähnlicher Arbeitsinput gesteckt wurde. War das hier der Fall?
Mehrere Felder sind schwach mit OSS besetzt, aber nicht, weil die Produktionsmethode unterlegen wäre, sondern weil die Manpower fehlt.
Frei und proprietaer – ob da nicht Aepfel und Birnen verglichen werden? Eine Software, die Opensource ist und Filme in einem seltsamen Format speichert ist frei und proprietaer. Ein Browser, dessen Quellcode nicht verfuegbar ist sich aber an die Vorgaben des W3-Konsortiums haelt ist nicht frei und auch nicht proprietaer. Also sind wohl Programme gemeint, bei denen der Quellcode entweder verfuegbar ist oder nicht. Bei Opensource-Programmen muesste man bei dieser Frage auch zwischen solchen Projekten unterscheiden, bei denen jeder am Quelltext herumschreiben kann und solchen, bei denen die Quellen zwar verfuegbar sind, aber nur ein geschlossener Kreis an den jeweiligen… Mehr »
Qualitätssicherungen und Entwicklungsstrategien. Das eine braucht Manpower, das andere eine feste Gruppe an Entwicklern, die sich konstant einbringen können. Beides kostet Zeit und Geld. Das sind alles Zutaten, von denen ein durchschnittliches OpenSource Projekt in der Regel nicht viel hat. Vergliche man nun Mittelmaß OSS mit Mittelmaß CSS, dann wäre das Ergebnis ungleich interessanter. Aus meiner eigenen User-Erfahrung heraus muß ich feststellen, daß viele OSS Programme in der Praxis besser funktionieren als vergleichbare CSS Software. Klar, die Code-Fehler sehe ich nicht. Insgesamt werden bei den bekannteren OSS Anwendungen aber wahrscheinlich mehr Bugs von Usern eingereicht. Eine kostenpflichtige Analyse per Software… Mehr »