L’extrait de code Java StackOverflow le plus copié contenait un bug
L’extrait de code Java StackOverflow le plus copié de tous les temps contient un bug. Cette révélation provient de l’auteur du fragment lui-même, Andreas Lundblad, développeur Java chez Palantir, et l’un des contributeurs les mieux classés de StackOverflow, un site Web de questions-réponses sur des sujets liés à la programmation.
Un article académique [PDF] publié en 2018 a identifié un extrait de code publié par Lundblad sur le site comme étant le code Java le plus copié de StackOverflow. L’extrait de code a été publié en réponse à une question StackOverflow publiée en septembre 2010. L’extrait de code comptait le nombre d’octets (123 456 789 octets) dans un format lisible par l’homme, comme 123,5 Mo.
Les universitaires ont découvert que ce code avait été copié et intégré dans plus de 6 000 projets Java GitHub, plus que tout autre fragment de code Java StackOverflow.
Dans un article de blog publié la semaine dernière, Lundblad a admis que son code était défectueux et qu’il convertissait de manière incorrecte le nombre d’octets dans des formats lisibles par l’homme. Lundblad a déclaré qu’il avait revu le code après avoir pris connaissance du document universitaire et de ses résultats.
Il a de nouveau examiné le code et publié une version corrigée sur son blog.
publicité
Le code StackOverflow contient parfois des bugs de sécurité
Mais bien que l’extrait de code de Lundblad contienne un bug de conversion trivial qui aboutissait à des estimations de taille de fichier légèrement imprécises, les choses auraient pu être bien pires.
Le code aurait pu contenir une faille de sécurité, par exemple. Si tel était le cas, la correction de toutes les applications vulnérables aurait pris des mois, voire des années, exposant ainsi les utilisateurs à des attaques.
Même s’il est universellement reconnu que copier-coller du code de StackOverflow est une mauvaise idée, les développeurs le font quand même.
Le document de recherche de 2018 montrait à quel point cette pratique était répandue dans l’écosystème Java, révélant que la grande majorité des développeurs qui copiaient les réponses populaires depuis StackOverflow ne prenaient même pas la peine de créditer leurs sources.
Les développeurs de logiciels qui copient du code à partir de StackOverflow sans attribution cachent aux autres codeurs qu’ils ont introduits du code non contrôlé dans un projet.
Cela peut sembler alarmiste, mais un projet de recherche universitaire publié en octobre 2019 [PDF] a montré que les extraits de code StackOverflow contenaient des vulnérabilités – et qu’il ne s’agit pas simplement d’une légende urbaine que les développeurs utilisent pour se faire peur.
Les chercheurs ont découvert des failles de sécurité majeures dans 69 des extraits de code C ++ les plus populaires publiés sur StackOverflow au cours des dix dernières années.
Des chercheurs ont déclaré avoir trouvé ces extraits de code vulnérables dans un total de 2 859 projets GitHub, ce qui montre comment une mauvaise réponse sur StackOverflow pourrait causer des dommages dans tout un écosystème d’applications open source.
Source: ZDNet.com
