cURL и цель «ноль багов»: что реально возможно

Тема пришла из обсуждения на Reddit: в ветке r/programming пользователи разгорелись вокруг поста Дэниела Стенберга «Approaching zero bugs?». За сутки обсуждение собрало более 3 000 голосов, потому что каждый разработчик когда‑то мечтал о безошибочном коде.

Что задумал Дэниел Стенберг

Стенберг — главный поддерживатель cURL, открытого инструмента для передачи данных по URL. В блоге он задаётся вопросом: приближаемся ли мы к состоянию «ноль багов» благодаря современным AI‑инструментам? Он предлагает два простых показателя: количество найденных уязвимостей за месяц и среднее время их исправления.

По его словам, в 2025 году команда cURL получила 181 уведомление о проблемах, а AI‑генераторы уже помогли исправить 50 из них. Но рост скорости обнаружения превзошёл возможности разработчиков успевать их обрабатывать.

Голоса сообщества

«The title is a bit misleading because Stenberg isn't claiming curl is near zero bugs, he's more describing the philosophy and process of taking each bug seriously rather than treating them as inevitable noise.» — liampolemarch

«The more time you have to do something, the more the work expands to fit the limit. As it gets easier to write correct code, we set our sights higher, demand more from the code, put it in harder situations.» — Saint_Nitouche

«If GPT‑8 can produce formal proofs for every interesting property in a program, we will invent new properties that make us feel good or make us money.» — Saint_Nitouche

«AI review finds “problems” that don’t really deserve attention. Having an AI reviewing PRs doesn’t mean you don’t need a human to review the reviews.» — radarsat1

Почему это важно для всех

Если даже такой зрелый проект, как cURL, не может «запереть» баги, то крупные облачные сервисы и банковские системы находятся в ещё более сложной позиции. Ошибки в коде становятся не только технической, но и юридической проблемой.

Анализ рынка

В России

• DeepCode.RU — сервис AI‑проверки кода, ориентирован на Python и JavaScript, бесплатный план ограничен 1000 строк.
• Кодекс — локальная статическая проверка для C/C++, интегрируется в CLion, но не умеет приоритизировать уязвимости.
• ТестГид — небольшая SaaS‑платформа, собирает метрики покрытий, но не предлагает автоматический поиск багов.

За рубежом

• Snyk — AI‑поддерживаемый сканер уязвимостей, покрывает более 30 языков, предлагает приоритеты по CVSS.
• SonarQube — популярный серверный анализ кода, умеет измерять «технический долг», но требует собственного хостинга.
• GitHub Copilot Chat — генерация исправлений в реальном времени, но часто предлагает «фиктивные» проблемы.
• CodeQL — язык запросов к базе кода, позволяет писать собственные правила, однако требует высокой квалификации.

Незакрытая ниша: в России нет SaaS‑сервиса, который бы объединял AI‑поиск багов, автоматическую приоритизацию по бизнес‑риску и интеграцию с популярными русскоязычными системами контроля версий (GitLab CE, Bitbucket Server).

Читайте также

• Незнание не является оправданием: почему беззнаковые размеры — это ошибка программирования
• GraphQL: почему некоторые разработчики разочаровались в технологии
• Полезные сайты для программиста: подборка Reddit‑сообщества