[FUG-BR] Me ajudem a entender essa notícia (FreeBSD)

Carlos A. M. dos Santos unixmania em gmail.com
Sexta Maio 2 12:28:18 BRT 2008 

2008/4/30 Welkson Renny de Medeiros <welkson em focusautomacao.com.br>:

>  Estava lendo alguns artigos sobre Firebird, e me deparei com esses dois
>  links:
>  http://www.informationweek.com/news/security/showArticle.jhtml;jsessionid=QXEFLUIBNFJWAQSNDLRSKH0CJUNN2JVN?articleID=205600229&_requestid=701086

Pelo que entendi da notícia, os números vêm de uma análise feita com o
Coverity Prevent:

    http://www.coverity.com/html/prod_prevent.html

A empresa em que trabalho usa esse software. Ele é realmente muito
bom, mas é preciso tomar cuidado com a interpretação de seus
resultados. O Coverity Prevent faz análise estática de código. Ele
procura erros em códico em C do tipo variável não inicializada,
índices inválidos em arrays e assim por diante. Muitos desses defeitos
são considerados falhas de segurança porque eles podem fazer com que o
software quebre. Não significa que o sistema possa ser invadido por um
cracker ou coisa assim. Resumindo: mais um artigo que grita "open
source is not safe" para atrair gente a uma página cheia de anúncios.

Outra coisa que é preciso lembrar é que desde janeiro de 2006 o
Coverity está disponível para ser usado pelos committers do FreeBSD.
Isto está inclusive documentado no Committers Guide:

     http://www.freebsd.org/doc/en/articles/committers-guide/coverity.html

>  http://www.informationweek.com/blog/main/archives/2008/01/oops_look_at_th.html
>
>  Pelo que entendi, no artigo o cara comenta sobre bugs encontrados em
>  softwares e sistemas operacionais... algo como FreeBSD é desatualizado, tem
>  muitos bugs reportados e não corrigidos... traduzi errado? ou é esse cara
>  que tá conversando mer..?

Como todo jornalista que se põe a falar cobre tecnologia ele fala
merda. Ele obviamente não sabe como o Coverity funciona nem como é o
código do FreeBSD. Na verdade eu duvido que ele esteja interessado em
saber. A função dele é escrever coisas que pareçam revelações
bombásticas de modo a atrair leitores e aumentar a contagem de "page
views". Com isso a IW pode cobrar mais dos anunciantes. E segue o
baile...

Havia 605 defeitos reportados em 1582166 linhas de códico em

     http://scan.coverity.com/rung1.html

Isso dá uma média de um defeito a cada  2615 linhas, o que já é baixo.
Além disso o Coverity Prevent não é perfeito e gera muitos falsos
positivos, principalmente quando o código é muito rebuscado. Nesses
casos o que se faz é reorganizar o código ou incluir um comentário
contendo instruindo o coverity para ignorar o suposto erro.

>  No final do texto do segundo link, Colin Percival fala sobre sobre os bugs
>  nos últimos 4 anos, que tem falso-positivo, etc...

O que o Colin Percival disse, educadamente, com "leading to confusion,
such as yours" foi: o senhor não tem conhecimento suficiente para
entender isso.

-- 
Carlos A. M. dos Santos

Mais detalhes sobre a lista de discussão freebsd