Análise automatizada apontou 611 defeitos e 71 possiveis vulnerabilidades no código do Firefox
“Saiu uma análise sobre o código da versão 1.5.0.6 do popular navegador Mozilla Firefox. A análise identificou 611 defeitos e 71 possíveis vulnerabilidades. O estudo foi entregue à Fundação Mozilla que prometeu analisar o código. Achei interessante os responsaveis pelo estudo terem disponibilizado suas conclusões e analise para o projeto, dessa forma poderemos, em breve, ter um navegador ainda melhor.”
A nota foi enviada por Vinicius Menezes (vini·billΘgmail·com), que acrescentou este link da fonte para maiores detalhes.
(postado por Augusto Campos)
Comentários dos leitores
Comentário de Dm7
07/09/06 21:59 - usuário registrado #2071
Muito bom! O espírito do: Muito bom! O espírito do open-source é mais ou menos esse! Só espero que o estudo seja realmente sério. Imagino que se esse estudo não considera o uso dos complementos (extensões), o número de defeitos torna-se variável,
Comentário de iamah
07/09/06 23:50 - usuário registrado #8074
Um cara postou esse: Um cara postou esse comentário lá:
Disclaimer: I'm a former developer on the mozilla project and helped architect some parts of the mozilla codebase.
This is really bogus - many people have run code correctness tools on the mozilla/firefox codebase over the last few years and some good has indeed come out of it. There are always a few dangling pointers or missing null checks that could be added here and there. But to claim that there are 611 known, specific, real defects is just wrong.
With most of these tools the signal:noise ratio is very high. For example, most of these "dereferencing null" cases are either handled automatically by C++ template wrappers that do smart pointer management. Many of these "potential" memory leaks are handled automatically by XPCOM's refcounting.
To paraphrase jwz, (who normally I finally tremendously annoying) - these tools are helpful only if your time has no value.
This is not to say there aren't 141 other legitimate memory management defects lurking, but it takes a deeper (human) understanding of the codebase, as well as testing of actual codepaths in use, to flush them out.
To spend smart developers' time going over long reports of machine-generated lint would be a waste.
Posted by: Alec Flett | September 7, 2006 12:18 PM
Comentário de Valdolinux
08/09/06 9:06
O que eu, sinceramente,: O que eu, sinceramente, gostaria de saber é como os responsáveis por essa análise encontram essas falhas e o pessoal de desenvolvimento do Mozilla não!!!(?) Não é uma crítica, apenas uma curiosidade!!!
Comentário de Dm7
08/09/06 11:21 - usuário registrado #2071
Então é mais uma tentativa: Então é mais uma tentativa de se atrair os holofotes. O que a "imprensa marrom" vai adorar, por sinal,
Comentário de hamacker
08/09/06 14:46 - usuário registrado #168
Não são bugs caçados por: Não são bugs caçados por programadores, são bugs caçados por programas que apontam onde há possiveis falhas. Isso seria uma maravilha se funcionasse bem, não apenas para lista-los mas analisar o codigo e determinar se é um bug ou um falso positivo, isso se faz internamente com a equipe de desenvolvimento.
Se agiram de maneira apenas robótica listando as pseudos-falhas é uma irresponsábilidade posta-las em público apenas para criar comoção entre as pessoas.
Se agiram de maneira apenas robótica listando as pseudos-falhas é uma irresponsábilidade posta-las em público apenas para criar comoção entre as pessoas.