2008/4/30 Welkson Renny de Medeiros <[EMAIL PROTECTED]>:
> Estava lendo alguns artigos sobre Firebird, e me deparei com esses dois
> links:
>
> http://www.informationweek.com/news/security/showArticle.jhtml;jsessionid=QXEFLUIBNFJWAQSNDLRSKH0CJUNN2JVN?articleID=205600229&_requestid=701086
Pelo que entendi da notícia, os números vêm de uma análise feita com o
Coverity Prevent:
http://www.coverity.com/html/prod_prevent.html
A empresa em que trabalho usa esse software. Ele é realmente muito
bom, mas é preciso tomar cuidado com a interpretação de seus
resultados. O Coverity Prevent faz análise estática de código. Ele
procura erros em códico em C do tipo variável não inicializada,
índices inválidos em arrays e assim por diante. Muitos desses defeitos
são considerados falhas de segurança porque eles podem fazer com que o
software quebre. Não significa que o sistema possa ser invadido por um
cracker ou coisa assim. Resumindo: mais um artigo que grita "open
source is not safe" para atrair gente a uma página cheia de anúncios.
Outra coisa que é preciso lembrar é que desde janeiro de 2006 o
Coverity está disponível para ser usado pelos committers do FreeBSD.
Isto está inclusive documentado no Committers Guide:
http://www.freebsd.org/doc/en/articles/committers-guide/coverity.html
>
> http://www.informationweek.com/blog/main/archives/2008/01/oops_look_at_th.html
>
> Pelo que entendi, no artigo o cara comenta sobre bugs encontrados em
> softwares e sistemas operacionais... algo como FreeBSD é desatualizado, tem
> muitos bugs reportados e não corrigidos... traduzi errado? ou é esse cara
> que tá conversando mer..?
Como todo jornalista que se põe a falar cobre tecnologia ele fala
merda. Ele obviamente não sabe como o Coverity funciona nem como é o
código do FreeBSD. Na verdade eu duvido que ele esteja interessado em
saber. A função dele é escrever coisas que pareçam revelações
bombásticas de modo a atrair leitores e aumentar a contagem de "page
views". Com isso a IW pode cobrar mais dos anunciantes. E segue o
baile...
Havia 605 defeitos reportados em 1582166 linhas de códico em
http://scan.coverity.com/rung1.html
Isso dá uma média de um defeito a cada 2615 linhas, o que já é baixo.
Além disso o Coverity Prevent não é perfeito e gera muitos falsos
positivos, principalmente quando o código é muito rebuscado. Nesses
casos o que se faz é reorganizar o código ou incluir um comentário
contendo instruindo o coverity para ignorar o suposto erro.
> No final do texto do segundo link, Colin Percival fala sobre sobre os bugs
> nos últimos 4 anos, que tem falso-positivo, etc...
O que o Colin Percival disse, educadamente, com "leading to confusion,
such as yours" foi: o senhor não tem conhecimento suficiente para
entender isso.
--
Carlos A. M. dos Santos
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
