Coverity 5.3 Scan Project

ソースコードの静的解析ツールを手がけるCoverity（コベリティ）は11月17日。2010年度オープンソース（OSS）品質評価レポート発表。Android に高リスクのソフトウェア不具合を発見。

2010年度オープンソース（OSS）品質評価レポートとは、オープンソース・ソフトウェアのインテグリティ（ソースコードの品質）に関する調査結果をまとめたもので、コベリティが2006年に米国国土安全保障省と官民共同で開始した世界最大規模のプロジェクト。

レポートでは、AndroidのほかLinux、Apache、Samba、PHPなど、一般的に広く利用されているオープンソース・プロジェクト291件、合計6100万行を超えるオープンソース・コードについて解析した調査結果を詳細に記述しています。

Coverity Scan 2010年度オープンソース品質評価レポートの概要は以下のとおりです。

• 携帯電話機や携帯型情報機器など人気の高い携帯型端末に搭載されることが多いAndroidのカーネルをコベリティが解析したところ、359件のソフトウェア・バグが検出された。
• 検出されたAndroidのバグの25％が高リスクのものであり、セキュリティ侵害やクラッシュの危険性がある。
• Coverity Scanが検出したオープンソース・プロジェクトのバグの半数近くが高リスクに分類される。
• Androidなどのオープンソース・コードから検出された高リスクのバグは、コベリティのお客様なら通常、製品出荷前に除去可能な種類のものである。
• オープンソース・コードから検出された一般的なバグの多くは、メモリー破壊やNULLポインターの逆参照、リソース・リークなどで、システム・クラッシュやセキュリティ上の脆弱性の原因となる恐れがある。

特定のオープンソース・プロジェクトについてのバグ解析結果を公表するのは2010年度オープンソース品質評価レポートでのAndroidカーネル2.6.32（開発コード名「Froyo」）が初めてです。これまでコベリティでは、特定のオープンソース・プロジェクトについて個別に解析結果を公表していませんでした。Googleによると、Android端末は1日あたり6万5000台以上が出荷されています。

2012年までに、全世界で販売されるスマートフォンのうちAndroidを採用した機種は18％を占めるようになり、Androidは第2位のスマートフォンOSになるとみられています。

Coverity プレリリース 2010年度オープンソース品質評価レポートを発表
http://www.coverity.com/html_ja/press/press_story52_11_17_10.html