Da steht doch:
Memory management issues accounted for the next highest defect count (141 defects). A large number of these defects arose as a result of a function returning abruptly when it had encountered an error. In such cases, the code neglected to free allocated memory, even though that memory would have been de-allocated had the function run its full course.
Stimmt schon, und das war mir auch bekannt. Nur das passt irgendwie nicht zum Fazit der Studie. Wenn es 141 Fehler gibt, die Speicherlecks verursachen können, ist das eben kein guter Code. Speicherlecks gehören bei mir nach Sicherheitslücken zu den größten Code-Fehlern.
Zitat von wupperbayerStimmt schon, und das war mir auch bekannt. Nur das passt irgendwie nicht zum Fazit der Studie. Wenn es 141 Fehler gibt, die Speicherlecks verursachen können, ist das eben kein guter Code. Speicherlecks gehören bei mir nach Sicherheitslücken zu den größten Code-Fehlern.
Kommt immer auf die Code größe an wenn jemand wirklich effektiv in 10 Millionen Zeilen C Code nur 600 Fehler hat wäre das STATISTISCH sehr sehr guter Code.
Ich seh das in dem konkreten Fall aber eher so, der Hersteller wollte zeigen das sein Tool auch gut ist im Fehler finden ist, wollte es sich aber gleichzeitig nicht mit den Mozilla Anhängern verscherzen und hat deshalb hinterdrang gehangen das der Code trotzdem sehr sehr gut ist 
Wobei allein ein Analyselauf eines solchen Programms recht wenig Aussagekraft über die Codequalität hat, da müsste man sich schon hinsetzen und mit dem Hirn analysieren.
p.s.
Weis jemand genau auf wieviel Zeilen Code Mozilla mittlerweile kommt?
Bei Coverity ist die Rede von 1.823.054 Zeilen Code, also grob gesagt ca. zwei Millionen Zeilen.
http://scan.coverity.com/
Man sollte mit solchen Mitteilungen sehr vorsichtig umgehen. Es ist natürlich richtig, dass Programme wie Klocwork helfen können, die Code-Qualität zu verbessern, aber wie auch andere schon geschrieben haben: Den Entwicklern einfach den Output der Software vor die Füße zu knallen, bringt recht wenig. Allein der Zeitaufwand, um die echten Fehler von den Falschmeldungen zu trennen, ist kaum zu vertreten.
Ich habe eher den Eindruck, dass hier ein kommerzieller Anbieter ohne Aufwand enorme Werbung für sein Produkt erreichen möchte. Klar, als Anbieter solcher Lösungen kann man schlecht verbreiten, dass das Produkt hunderte Fehler in der Closed-Source-Software des Kunden gefunden hat, da würde der Kunde denen aber was erzählen, wenn sie denn überhaupt den Quellcode des Kunden sehen dürfen. Das einzige, was für Werbung also bleibt, ist Open-Source-Software. Da nimmt man dann einfach die profiliertesten Programme, jagt sie durch die eigene Software und schon hat man schlagzeilenträchtige Ergebnisse und damit weltweite Werbung, die keinen Cent kostet. Unter normalen Umständen müsste der Anbieter durch den Output der Software gehen und alles aussortieren, was nicht brauchbar ist, diesen Aufwand hat er sich hier gespart, gerade weil er offensichtlich nur den Werbeeffekt wollte. Die genannten Fehler sind teilweise lächerlich, jeder, der mal etwas programmiert hat weiß, was Design by Contract bedeutet, was Wrapper sind und was ein Compiler rausfischt. Nur jemand, der sich intensiv mit dem Quellcode auskennt, kann sagen, was Absicht und was Fehler ist.
Für Mozilla ist der Scan mitnichten kostenlos, denn Zeit ist Geld und für einen Code-Review brauch man viel Zeit. Momentan ist noch keine dieser potenziellen Lücken als tatsächliche Lücke erkannt worden, also nur Blindgänger. Dafür mussten Leute daran sitzen, die sich mit dem Code auskennen und einschätzen können, was wichtig ist und was ein Fehlalarm ist. Das ist Zeit, die dem Team jetzt beim Release von Version 2 fehlt. Jetzt könnte man natürlich sagen, dass sie nicht gezwungen sind, die Liste abzuarbeiten, aber was das für eine Publicity gäbe, muss ich hier wohl nicht betonen. Nicht, dass man mich falsch versteht, Sicherheit muss an erster Stelle stehen und das tut sie in der Mozilla-Entwicklung ja auch. Man denke nur daran, dass jeder Code, der eingecheckt werden soll, ein Review braucht, manche dann ein Super-Review und dann ein Approval. Nur die wenigsten Projekte leisten sich diesen Aufwand. Der Output von Klocwork bedeutet dagegen Arbeit ohne zu wissen, ob sie sich überhaupt lohnt, zumal Mozilla selbst schon Coverty lizenziert hat - ebenfalls eine statistische Software, zur Aufdeckung von Softwarefehlern.
Alles in allem finde ich es eine Unverschämtheit, dass Anbieter Open-Source-Projekt auf diese Weise für eigene Werbezwecke missbrauchen.
Zitat von Master XBei Coverity ist die Rede von 1.823.054 Zeilen Code, also grob gesagt ca. zwei Millionen Zeilen.
http://scan.coverity.com/
apache-httpd Lines of Code: 11
Du meine güte dafür braucht man ein Analyse Tool ?
Heute in der Berufsschule hat ein Kumpel von mir erzählt, dass der SysAdmin bei denen Firefox runterschmissen hat, aufgrund der potenziellen Sicherheitslücken :roll::roll: Mein Kollege hat es zu Hause dann gleichgetan...
Mal eine Frage zu g2zero.com, ist die Seite offiziel, also führte die den Test duch?
Siehe about g2zero:
g2zero is maintained by Klocwork (a provider of software quality tools) and New Rowley (a technology research and analysis firm).
wobei Klocwork.com seinerseits auf g2zero verlinkt, also offiziell.
Durchgeführt wurde der Test offensichtlich durch Adam Harrsion von Klocwork, denn der Firefox-Artikel ist in Ich-Form verfasst.
Zitat von TooT... der SysAdmin bei denen Firefox runterschmissen hat, aufgrund der potenziellen Sicherheitslücken :roll::roll: Mein Kollege hat es zu Hause dann gleichgetan...
tja, dann soll er aber am Besten den Internetzugang sperren :roll:
Nach diesem Artikel wurden die POTENZIELLEN Sicherheitslücken bereits geprüft.
Es wurde jedoch keine einzige, echte Lücke gefunden! 
:wink:
Der Typ von der Berufschule kann also Firefox ruhig wieder installieren. 
:lol: Da war man wohl wieder voreilig... 
Das Durchforsten von Bill´s Software mit dem Tool ergäbe vermutlich zahlreiche Sicherheitslücken:
- Windows
- Internet Explorer
- Outlook (+ OE)
- Word
- Access
- PowerPoint
... alles für sich jeweils eine riesige Lücke
Du hast Excel vergessen, und Paint :B
dafür stehen die ...
...geht es bei der Mozilla-Gemeinde nicht viel mehr um die kürzere Latenzzeit bezüglich wirklich ernstzunehmender 0-day Exploits?
Zur Not bleibt dann ja noch Opera! 
Oliver
