　2010年11月17日、コベリティは「2010年度オープンソース品質評価レポート」の結果を発表した。同レポートは、同社と米国国土安全保障省とで2006年に開始した調査プロジェクトによるもので、オープンソースソフトウェアの完全性や品質にフォーカスしている。AndroidのほかLinux、Apache、Samba、PHPなど、一般的に広く利用されているオープンソースプロジェクト291件、合計6100万行を超えるオープンソースコードについて解析した調査結果を詳細にレポートしている。

　同社は、オープンソースコミュニティから提出されたオープンソースコードを「Coverity Static Analysis」によって自動解析する「Coverity Scanサービス」を提供しており、同レポートはCoverity Scanサービスの解析結果を要約したものとなっている。

画像1　米Coverity CEOのセス・ハレム（Seth Hallem）氏

　中でも近年スマートフォンを中心としたさまざまな組み込み機器に採用されているAndroidに関する解析結果に注目したい。HTCのスマートフォン「DROID Incredible」に実装されているAndroidのソースコード（Androidカーネル 2.6.32：Froyo）を対象に解析したところ（補足）、359件のソフトウェアバグが検出され、その25％が高リスクのものであり、セキュリティ侵害やクラッシュの危険性があるという。

　特に「Androidに特化した部分は、Linuxのコード部分の2倍以上のバグ密度（ソースコード1000行当たりのバグ数）だった」と米Coverity CEOのセス・ハレム（Seth Hallem）氏は説明する。しかし、「ほかのオープンソースソフトウェアの平均よりも低いバグ密度である」（同社）とし、Androidカーネルと同規模のソフトウェアの業界平均値よりもバグが少ない状態で出荷されていることを示していると補足した。

※補足：解析を実施したバージョンには、Androidのカーネルのほか、ワイヤレス、タッチスクリーン、カメラのドライバのソースコードも含まれている。カーネルのソースコードはHTC Developer Centerから入手したもの。

　今後、同社はAndroidカーネルの再解析を予定しており、バグ密度や高リスクのバグの状態などに変化があれば報告を行うとしている。なお、Androidカーネルの解析結果を含むCoverity Scan：2010年度オープンソース品質評価レポートの詳細は、http://softwareintegrity.coverity.com/LP2011H1ScandroidRegistration-JP.htmlからダウンロード可能だ（要登録）。

　また同日、「Coverity 5.3」を2010年12月16日に出荷すると発表した。最新の5.3では、Coverity Static Analysisによってソースコード内で発見したバグを、分かりやすく表示する「Coverity Software Integrity Report（ソフトウェア品質評価レポート）」を自動生成する機能の追加。さらに、コンポーネントベースの管理機能や、Microsoft Visual Studio 2010などの新たなコンパイラのサポート、Java向けのAndroid固有のチェッカーなどの追加、Java／C#の解析パフォーマンスの向上（30～40％向上）がなされているとのこと。「Coverity 5.3では、サプライチェーンの開発を可視化するレポート機能やJava／Androidをサポートする機能追加・改善など多くのフィーチャーが含まれている」（ハレム氏）。

画像2　Java解析機能の向上

画像3　Androidチェッカーサポート

　なお、同社は2010年12月1から3日の3日間、パシフィコ横浜で開催される「組込み総合技術展 Embedded Technology 2010」に出展。Coverity Static Analysisを中心としたさまざまな展示・デモを行う予定だという。



展示会名	組込み総合技術展 Embedded Technology 2010（ET2010）
開催日	2010年12月1日（水）から3日（金）
会場	パシフィコ横浜
ブース番号	B-18