Coverity Reseñas y Detalles del Producto

Me encanta la característica de cómo la herramienta Coverity de Synopsys puede detectar problemas en el código y, por lo tanto, proporciona una manera de hacer que tu código sea mucho más optimizado. Reseña recopilada por y alojada en G2.com.

No me gusta que a veces haya problemas de falsos positivos para los cuales no hay una solución perfecta, pero Coverity lo indica como un error. Pero siempre hay una manera de declarar ese falso positivo y es lo suficientemente bueno. Reseña recopilada por y alojada en G2.com.

Tiene características muy capaces y prometedoras que proporcionan a un usuario la capacidad de depurar y analizar el código para tiempos de ejecución más rápidos. He utilizado esta herramienta mientras trabajaba en mi proyecto. La calidad del soporte del producto es impresionante, realmente me ayudaron mucho, lo que reduce el tiempo y el esfuerzo, y mejora mi código. Reseña recopilada por y alojada en G2.com.

Tiene algunos errores que corregir, pero puede encontrar las soluciones gracias a su soporte de producto. Reseña recopilada por y alojada en G2.com.

Utilizamos la herramienta de Análisis Estático Coverity para escaneos de seguridad del código de servidor en C/C++.

Coverity tiene una tasa de detección más alta ya que dependemos en gran medida de este escaneo de código para nuestro código de aplicación.

Hemos integrado sin problemas esta herramienta SAST (Coverity) en nuestro Pipeline de CI/CD y las vulnerabilidades se notificaban al desarrollador correspondiente por correo.

Proporciona un mecanismo para auditar los hallazgos y marcar falsos positivos de manera eficiente.

El soporte para varios idiomas es otro factor que destaca bien en comparación con otras herramientas.

El tiempo que toma escanear grandes líneas de código es significativamente más rápido en comparación con otras herramientas. Reseña recopilada por y alojada en G2.com.

Sin embargo, hay algunos puntos de mejora que pensé que debería destacar para hacer esta herramienta aún mejor para los usuarios finales.

strzcpy vs. NULL_STRING

Coverity no reconoce que strzcpy añade un terminador x00.

ab_pfetch*

En Windows actualmente tenemos muchos falsos positivos de OVERRUN.

bsearch en tabla de ancho fijo vs. Literal

El modelo de Coverity para bsearch asume que bsearch accede a la clave en todo el ancho de la clave. Si a bsearch se le da una tabla de tamaño fijo (máximo), y se usa strcmp como función de comparación, entonces en realidad cuando bsearch se llama con un literal pequeño como clave, todo está bien. Sin embargo, Coverity piensa que bsearch leerá más allá del final del literal, aunque strcmp no lo hará.

NO_EFFECT en var_arg

En Windows actualmente tenemos una advertencia de NO_EFFECT en todos los usos de va_args

TAINTED_SCALAR

Coverity advierte sobre el uso de datos contaminados, datos que podrían ser controlados por un atacante. Esto puede llevar a corrupción de datos, inyección de código,...

Cuando es posible, Coverity informa de defectos adicionales describiendo el uso peligroso de los datos contaminados INTEGER_OVERFLOW.

RW.LITERAL_OPERATOR_NOT_FOUND en printf con TEL_Format

Al usar el formato definido por TEL como TEL_Flpu, TEL_Fsu, TEL_Fpid,... Coverity a veces requiere un espacio antes de la 'T' de TEL_Fxxx.

TAINTED_STRING

Coverity advierte sobre el uso de datos contaminados, datos que podrían ser controlados por un atacante. Esto puede llevar a corrupción de datos, inyección de código, inyección SQL, recorrido de directorios,

PW.PRINTF_ARG_MISMATCH - * precisión o * tamaño vs. parámetros size_t o ptrdiff_t

Compilaciones o escaneos de 64 bits - El estándar C establece que la * precisión o tamaño son de tipo int. Esto generalmente son 4 bytes. En compilaciones de 64 bits size_t y ptrdiff_t son 8 bytes.

Si hubiera enviado una corrección ayer, el Coverity Connect de hoy seguiría informando del defecto. Reseña recopilada por y alojada en G2.com.

Asignar problemas a los usuarios es simplemente fácil y con menos falsos positivos. Reseña recopilada por y alojada en G2.com.

La parte de informes y para los resultados toma más tiempo que otras soluciones. Reseña recopilada por y alojada en G2.com.

ayuda a los equipos de desarrollo y seguridad a abordar los defectos de seguridad y calidad temprano en el ciclo de vida del desarrollo de software (SDLC). Lo mejor de Coverity es que es altamente preciso, apoya a miles de desarrolladores y analiza rápidamente grandes proyectos que superan los 100 millones de líneas de código. Reseña recopilada por y alojada en G2.com.

Algunos puntos que definitivamente necesitan mejora serían las fugas de recursos, la desreferenciación de punteros NULL y el uso incorrecto de las APIs. Reseña recopilada por y alojada en G2.com.

Su interfaz de usuario amigable. Es fácil navegar por el código usando Coverity y también describe brevemente el problema. Reseña recopilada por y alojada en G2.com.

Tenía problemas para categorizar los problemas de Coverity. Reseña recopilada por y alojada en G2.com.

Es fácil usar la herramienta. Y ayuda a encontrar cualquier problema que se pasa por alto en la revisión manual. Reseña recopilada por y alojada en G2.com.

La herramienta es bastante buena. Es fácil de configurar con las directrices adecuadas. Reseña recopilada por y alojada en G2.com.

Excelente interfaz de usuario y características del lado del servidor. El equipo de soporte de Coverity también es muy receptivo. Reseña recopilada por y alojada en G2.com.

No encontré ningún atributo de ese tipo durante mi experiencia. Reseña recopilada por y alojada en G2.com.

Facilidad con la que uno produce software altamente escalable y aborda problemas de seguridad. Reseña recopilada por y alojada en G2.com.

La herramienta Coverituy puede actualizarse para ofrecer más contenido a sus clientes. Reseña recopilada por y alojada en G2.com.

Proporciona un informe preciso y detallado, que es útil tanto para la alta dirección como para los desarrolladores. Reseña recopilada por y alojada en G2.com.

Nada por ahora. Nos gustó mucho. Reseña recopilada por y alojada en G2.com.