Coverity が自社の静的解析ツールで Android のソースコードを解析した結果について公表しています。

コベリティ、Androidを始め6100万行以上に渡り解析した「オープンソース品質評価レポート」を無償提供開始：CodeZine

「Scan Project」は、米国国土安全保障省の資金提供のもと、コベリティとスタンフォード大学の協力で、Linux、Apache、Androidといった人気の高いOSSプロジェクトの品質を無償で評価し、情報提供を行うプロジェクト。現時点で計291のプロジェクト、ソースコードにして6100万行以上の解析を行ったという。

レポートは所属を入力すると無料でダウンロードできるのですが、正直レポートしては面白くないです。参考にもなりません。具体的には、Coverity ではソフトウェアのインテグリティをレベル未達成から、検出されるkLoCあたりの欠陥密度が1以下であればレベル１、0.1以下であればレベル２、「バグ密度が1,000ソースコード行あたり0.01以下」かつ、「誤検出率が結果の20%未満であること、またはコベリティによる監査を受けていること。」かつ、「ユーザーによって重大度「大」と分類されたバグが0件であること。」であればレベル３というように４段階でレーティングしています。このレポートによると Android はレベル１ということになっているんですが、ツールが具体的にどのような指摘を出したのかについては下記の粒度でしか載っていないのが残念なところです。

Coverity, Inc., "CoverityCoverity Scan:2010 Open Source Integrity Report," p.14, 2010.

高リスクバグ
　・メモリー破損 (20件)
　・不正なメモリ・アクセス (29件)
　・リリースリーク (11件)
　・未初期化変数 (28件)

また、2010年は291のOSSプロジェクトが調査対象になっているようですが、その具体的な内容も欠陥密度も記載されていないので、レポートのタイトルがちょっと釣りすぎるのではないかと思います。もしかしたらどこかにレポート詳細がアップされているのかも知れませんが、僕が探した限りでは見つけることはできませんでした。あと、レポート原文では Defects になっているのを欠陥ではなく、バグと訳しているのも気になります。

このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/3908