Selon un rapport d’études publié cet été par l’américain Coverity, spécialiste des outils d’analyse statique de code récemment acquis par Synopsys, les logiciels propriétaires seraient plus conformes aux normes de sécurité ...OWASP Top 10 (Open Web Application Security Project) et CWE-25 (Common Weakness Enumeration) que les codes en open source. Le rapport de Coverity s'appuie sur l’analyse d’environ 10 milliards de lignes de code, dont celles de projets propriétaires et celles de 2 500 projets open source écrits en Python, C/C++, C# et Java.

Dans cette édition 2014 du Coverity Scan Open Source Report, Coverity note cependant que, comme les années précédentes, la qualité des logiciels open source est supérieure à celle des logiciels propriétaires. Ainsi, le nombre de défauts constatés pour 1 000 lignes de code serait en moyenne de 0,61 (contre 0,66 en 2013) pour les premiers et de 0,76 (contre 0,77 en 2013) pour les seconds.

Depuis la découverte de la faille de sécurité majeure Heartbleed par la société finlandaise Codenomicon (rachetée depuis par Synopsys), ajoute Coverity, l’analyse de la bibliothèque OpenSSL réalisée par ses soins a permis de corriger plus de 300 nouveaux défauts (soit une densité de défauts désormais établie à 0,21).

Enfin, au niveau du noyau Linux, Coverity indique que plus 500 défauts dont l’impact serait non négligeable, comme des fuites et corruptions de mémoire, ont été découverts par Coverity Scan, et corrigés depuis. La version complète du Coverity Scan Open Source Report est accessible ici.