La Software assurance marketplace (SWAMP) est une application web gratuite conçue pour permettre aux développeurs de tester leurs outils et identifier d’éventuelles vulnérabilités. Lancé en octobre 2012 et financée par le gouvernement américain, le programme devrait s’achever en 2017. Il fournira les ressources nécessaires pour analyser 275 millions de lignes de code par jour. Le projet se basera sur les outils déjà développés et l’expérience du « Build and Test Facility (BaTLab) de l’Université de Wisconsin-Madison. Au total sept outils open source sont disponibles, auxquels devraient s’ajouter cinq outils commerciaux d’analyse statique, exécutable en C/C ++, Java, Java bytecode, ou Python. Si vous êtes développeur, voici, selon Black Duck, 10 bonnes raisons d’utiliser SWAMP :
Il vous permet d’écrire du code de façon plus sécurisée : SWAMP vous aide à trouver les défauts de codage qui peuvent compromettre la sécurité des applications : dépassement de tampon, injections SQL, utilisation inappropriée des libraries, sont autant d’écueils que les outils de SWAMP sauront détecter.
Il vous permet d’écrire du code plus efficient : les outils SWAMP découvrent automatiquement le code mort ou inaccessible, éliminent les variables et les fonctions inutilisées, de sorte que votre application devient plus rationalisé et efficace.
Il vous permet d’écrire du code plus fiable : SWAMP permet aussi de trouver les points de conflit potentiels présents dans le code, ils peuvent détecter des problèmes situés dans des zones de code qui ne sont pas fréquemment exécutés.
Il vous permet d’écrire du code plus cohérent : SWAMP permet d’harmoniser la forme et le style du code. C’est donc aussi un outil pédagogique qui aide à créer un style uniforme et cohérent, de sorte que votre code sera plus lisible et plus facile à maintenir, notamment pour les développeurs tiers qui devront le comprendre.
Il vous permet de monitorer la qualité du code : SWAMP permet de quantifier et de monitorer la qualité de code de façon continuelle, en régénérant périodiquement la liste des problèmes, qu’on peut ensuite suivre au cours du temps. Une façon d’évaluer l’amélioration du code au cours de ses modifications, qui devrait être à l’avenir entièrement automatisé et intégré au système de commande source.
Il est gratuit : SWAMP est un assemblage entre du code open-source et un freeware financé par le gouvernement américain. Les outils de base ne sont soumis à aucune restriction mais les outils commerciaux d’analyse statique sont des services payants à destination des clients premium. L’interrogation qu’on peut formuler est de savoir si ce fonctionnement mixte sera pérenne. La prudence doit toujours être de mise avec les programmes financés par le gouvernement américain.
Il est libre : c’est le cas pour la partie ouverte, ce qui exclu les outils commerciaux d’analyse statique.
Il est facile et rapide à utiliser : contrairement aux systèmes d’analyse de code, que l’on doit télécharger, installer, configurer, entretenir, SWAMP est une solution clé-en-main ne nécessitant aucune configuration.
Il est neutre : il n’a pas été conçu pour mettre en avant un langage ou une plateforme particulière. Swamp est un programme oecuménique.
Il est collaboratif : si vous travaillez en équipe (comme la plupart des développeurs), SWAMP permet de partager les résultats d’évaluation du code.
Évidemment, il faudra tester cet ensemble d’outils, et rien de dit a priori qu’il améliorera l’expérience de l’analyse statique de programmes déjà permise par les outils existant. Pour mémoire rappelons qu’il existe déjà de bons logiciels libres d’analyse statique de programmes, comme SonarQube, FindBugs ou Cppcheck. Pour les autres, qui n’utilisent pas d’outils de ce genre, SWAMP serait une bonne opportunité de monter en gamme en matière de qualité logicielle.