The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Результаты аудита кода MySQL подтвердили высокое качество открытого ПО

06.02.2005 17:15

Компания Coverity опубликовала результаты проверки качества исходных текстов MySQL.

После автоматизированной проверки кода было выявлено 97 проблем (исправления появятся в следующем релизе MySQL), из которых только одна может быть использована для нарушения безопасности.

В целом, код MySQL признан хорошим (1 ошибка на 4000 строк), его качество оказалось гораздо выше среднего коммерческого проекта (от 1 до 7 ошибок на 1000 строк).

Ранее проводился подобный аудит для Linux ядра, в результате которого было выявлено 985 проблем в 5.7 миллионах строках кода, т.е. менее 1 ошибки на 10000 строк.

Объекты следующих проверок - проекты Apache и PHP.

  1. Главная ссылка к новости (http://news.com.com/Study+Few+...)
Лицензия: CC-BY
Тип: Тема для размышления
Короткая ссылка: https://opennet.ru/5033-mysql
Ключевые слова: mysql, security, audit
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (19) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, ZOD (??), 18:17, 06/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    чем можно было ожидать. Странно что автоматизированый аудит не применяется непосредственно в разработке, это плохо ведь есть и бесплатные тулзы такого рода.

    В реальности событий в той статье где говорилось 1 - 7 ошибок на 1000 строк в коммерческих продуктах было указано, что в это число включены как ошибки в коде так и архитектурные, и прочие ошибки совершаемые командой разработчиков. Так же известны (уже лет 20 как) методы внедрение которых позволяет сократить количество ошибок до 0.1 - 0.001 на 1000 строк. Эти методы включают в себя как средства автоматизированого анализа кода, логики так и организационные методы. Более того, в MS и не только эти метолдики успешно внедрены и применяются.

    В качестве примера програмного средства контроля логики работы ПО можно привести spin который лежит на bell labs в открытом доступе.

     
     
  • 2.18, Ivan (??), 11:45, 10/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    ZOD> ведь есть и бесплатные тулзы такого рода.

    Приведи еще примеры пожалуйста - IMHO пригодится.

    ZOD> Так же известны (уже лет 20 как) методы внедрение которых позволяет  сократить количество ошибок до 0.1 - 0.001 на 1000 строк. Эти методы включают в себя как средства автоматизированого анализа кода, логики так и организационные методы. Более того, в MS и не только эти метолдики успешно внедрены и применяются.

    И где результат ? Что-то продукты MS объективно не кажутся мне такими уж качественными ...

     

  • 1.2, ZOD (??), 18:43, 06/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    http://www.osp.ru/os/2004/07/045_print.htm
    http://www.osp.ru/os/1998/02/60_print.htm
    http://www.osp.ru/os/2003/12/045_print.htm
    Хороший был журнал(

    http://cm.bell-labs.com/who/god/verisoft/

    Раньше на белл лабс лежало.
    http://spinroot.com/spin/whatispin.html
    http://spinroot.com/spin/Src/index.html

     
     
  • 2.3, Xenu (?), 20:13, 06/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    спасибо за инфу
     

  • 1.4, Аноним (4), 03:20, 07/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    почему же тогда что ни релиз ядра, то локалрут-уязвимость, если качество кода линуха такое высокое?
     
  • 1.5, Beginner (??), 08:01, 07/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Какая разница насколько качественно MySQL не поддерживает транзакции или тригерры? Не поддерживает и все.
    А ядра... Там кривости на уровне реализации драйверов бродят такими толпами, что и не пересчитать их.
     
     
  • 2.6, Аноним (4), 08:35, 07/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    http://www.mysql.com/products/mysql/
    перевод нужен?

    ты просто не умеешь ядра готовить...

     
     
  • 3.8, Beginner (??), 10:29, 07/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Переведи.
    Support for stored procedures has been added in version 5.0, and support for triggers will be added in version 5.0.
    MySQL 5.0 -- Development release (use this for previewing and testing new features)

    Насчет ядер. Часто драйвера, которые появляются в них, настолько сырые, что начинают правильно работать через 4-5 релизов, а то и вообще не начинают. Из запомнившегося - некорректная поддержка виртуальных сетей на карточках 3com 905 (не помню уже релиза, что-то типа 2.4.14 тогда было). Пришлось останавливать сервер и ставить туда дубовые RTL8139. И подобное случается довольно часто - как только железяка выпадает из разряда "стоит в каждом втором копме" начинаются проблемы с дровами, ибо ПО некоммерческое и "обрабатывать напильником" оказывается некому.

     
     
  • 4.9, ZOD (??), 11:09, 07/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    никто не отменял
     

  • 1.7, arruah (??), 09:55, 07/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Насколько я знаю в последней версии маскуля и триггеры и транзакции поддерживаются
    вот что точно не поддерживается так это Пам В Слаке ;)
     
     
  • 2.10, MiRacLe (?), 13:16, 07/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >вот что точно не поддерживается так это Пам В Слаке ;)

    "поддерживается" ;o)

    https://www.opennet.ru/openforum/vsluhforumID3/4945.html#14


     
  • 2.11, chip (ok), 14:08, 07/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    > Насколько я знаю в последней версии маскуля и триггеры и транзакции поддерживаются

    она еще alpha. В продакшене не везде 4-ка даже используется.

     

  • 1.12, scum (??), 14:33, 07/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Триггеры, транзакции, хранимые процедуры - это все хорошо, конечно же. Ну а что же делать тем, кому все это нафиг не надо? А таких ведь подавляющее большинство. Хотя, если честно, postgres все равно круче будет.
     
     
  • 2.13, CGen (?), 15:32, 07/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Это точно! И совершенно бесплатно.
     
  • 2.16, Ося (??), 13:26, 09/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    если не нужны даже, краеугольный камень СУБД, -- транзакции, а MySQL по своей сути антитраназакционная СУБД (в том смысле, что стоимость транзикции слишком высока и поддержка неудовлетворительна), То может использовать BerkleyDB или что либо еще? И не говорить слово СУБД, т.к. оно вам не надо.
     

  • 1.14, redactor (?), 11:55, 08/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вместо того, чтобы порадоваться тому, что открытое ПО все больше поднимается все устроили полемику о смысле существования :)

    Дело в том, что посмотрю я на человека, который будет поднимать банковский сервер на MySql и на человека, который поднимет хотя бы на Postgres (не говоря об Оракле) посещаемый веб сайт.

    Хиз аун ту ич!!
    :) :)

     
     
  • 2.19, Wulf (?), 18:46, 10/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Вы не поверите, но у меня на колокейшене стоит сайт одного уважаемого издания: 3 машины: FreeBSD фронтэнд, FreeBSD бэкэнд и Оracle на винде.
    все 2-х - 4-х процессорные. И вполне нормально работают и не жалуются. Могу добавить, что люди которые его создавали очень неплохо разбираются в том что и куда ставить.
    А MySQL (особенно 3-я ветка) это хорошо для небольших сайтов, крутящихся на массовых хостингах. Вот там он действительно, вне конкуренции.
     

  • 1.15, delmax (??), 12:11, 08/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    По-моему гораздо лучше использовать Firebird.
    Транзакции, триггеры, представления, процедуры, пользовательские расширения, домены и т.д.
    Главное, что это давно и стабильно работает. Очень быстрый и легкий, удобный в администрирование. ODBC, JDBC и .NET драйверы и т.д. и т.п.
    Кто его использовал уже никуда не уходит.
     
     
  • 2.17, ZOD (??), 19:43, 09/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    но ещё сложнее оставаться.
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру