Petit rappel des faits : la semaine dernière, la société Klocwork utilisait son analyseur de code pour passer au crible le navigateur Firefox. Résultats des courses : 611 erreurs trouvées et 71 vulnérabilités. Constat tragique : le navigateur libre de Mozilla n’est pas celui que l’on pensait. C’est du moins sous cette forme que l’information a été relayée dans la plupart des cas.

Pourtant, nous avions tempéré ces résultats car les analyseurs de code statiques ont des limites. Les erreurs trouvées devaient donc être étudiées au cas par cas par des développeurs, de même que les vulnérabilités. Bien que les analyseurs puissent rendre de grands services en se basant notamment sur une rigueur stricte du code, ils ne peuvent cependant suivre certaines finesses mises en place par les développeurs. Là où le logiciel génère une erreur, il peut s’agir de toute autre chose.

Mozilla a tenu à faire un état des lieux. Depuis deux semaines, les développeurs de Firefox travaillent au coude-à-coude avec Klocwork. Chaque erreur est analysée et pour le moment, aucune n’a été confirmée. Ce qui est amusant d’ailleurs dans cette histoire, c’est que le travail fourni par les développeurs de Mozilla aide ceux de Klocwork à améliorer leur outil.

À noter que Robert O'Callahan, développeur chez Novell et « hacker » sur Firefox, a d’ailleurs publié un billet sur son blog donnant quelques détails sur l’analyse de Klocwork (en anglais).