Recensioni e Dettagli del Prodotto Coverity

A volte trova scritture di memoria fuori dai limiti in C++ mozzafiato. Recensione raccolta e ospitata su G2.com.

Poco progresso dal 2010; lingue diverse da C/C++ estremamente deboli. Supporto inutile dall'acquisizione da parte di Synopsys. Recensione raccolta e ospitata su G2.com.

Adoro la funzionalità di come lo strumento Coverity di Synopsys possa rilevare problemi nel codice e quindi fornire un modo per rendere il tuo codice molto più ottimizzato. Recensione raccolta e ospitata su G2.com.

Non mi piace che a volte ci siano problemi di falsi positivi per i quali non esiste una soluzione perfetta, ma Coverity li indica come bug. Tuttavia, c'è sempre un modo per dichiarare quel falso positivo ed è abbastanza buono. Recensione raccolta e ospitata su G2.com.

Ha caratteristiche molto capaci e promettenti che forniscono all'utente la possibilità di eseguire il debug e l'analisi del codice per tempi di esecuzione più rapidi. Ho usato questo strumento mentre lavoravo al mio progetto. La qualità del supporto del prodotto è eccezionale, mi hanno davvero aiutato molto, riducendo tempo e sforzo, e rendendo il mio codice il migliore. Recensione raccolta e ospitata su G2.com.

Ha alcuni bug da correggere, ma può trovare le soluzioni grazie al loro supporto prodotto. Recensione raccolta e ospitata su G2.com.

Utilizziamo lo strumento di analisi statica Coverity per le scansioni di sicurezza del codice server C/C++.

Coverity ha un tasso di rilevamento più elevato poiché ci affidiamo molto a questa scansione del codice per il nostro codice applicativo.

Abbiamo integrato senza problemi questo strumento SAST (Coverity) nella nostra pipeline CI/CD e le vulnerabilità venivano notificate al rispettivo sviluppatore via mail.

Fornisce un meccanismo per controllare i risultati e contrassegnare i falsi positivi in modo efficiente.

Il supporto per diversi linguaggi è un altro fattore che si distingue bene rispetto ad altri strumenti.

Il tempo necessario per scansionare grandi quantità di codice è significativamente più veloce rispetto ad altri strumenti. Recensione raccolta e ospitata su G2.com.

Tuttavia, ci sono alcuni punti di miglioramento che ho pensato di evidenziare per rendere questo strumento ancora migliore per gli utenti finali.

strzcpy vs. NULL_STRING

Coverity non riconosce che strzcpy aggiunge un terminatore x00.

ab_pfetch*

Su Windows attualmente abbiamo molti falsi positivi di OVERRUN.

bsearch su tabella a larghezza fissa vs. Literal

Il modello di Coverity per bsearch presume che bsearch acceda alla chiave sull'intera larghezza della chiave. Se bsearch viene dato una tabella di dimensioni fisse (massime), e ad esempio strcmp come funzione di confronto, allora in realtà quando bsearch viene chiamato con una piccola chiave letterale, tutto va bene. Purtroppo Coverity pensa che bsearch leggerà oltre la fine del letterale, anche se strcmp non lo farà.

NO_EFFECT su var_arg

Su Windows attualmente abbiamo un avviso NO_EFFECT su tutti gli usi di va_args

TAINTED_SCALAR

Coverity avverte per l'uso di dati contaminati, dati che potrebbero essere controllati da un attaccante. Questo può portare a corruzione dei dati, iniezione di codice,...

Quando possibile, Coverity segnala difetti aggiuntivi descrivendo l'uso pericoloso dei dati contaminati INTEGER_OVERFLOW.

RW.LITERAL_OPERATOR_NOT_FOUND su printf con TEL_Format

Quando si utilizza un formato definito TEL come TEL_Flpu, TEL_Fsu, TEL_Fpid,... Coverity a volte richiede uno spazio prima della 'T' da TEL_Fxxx.

TAINTED_STRING

Coverity avverte per l'uso di dati contaminati, dati che potrebbero essere controllati da un attaccante. Questo può portare a corruzione dei dati, iniezione di codice, iniezione SQL, attraversamento di directory,

PW.PRINTF_ARG_MISMATCH - * precisione o * dimensione vs. parametri size_t o ptrdiff_t

Build o scansioni a 64 bit - Lo standard C afferma che la * precisione o dimensione sono di tipo int. Questo è generalmente di 4 byte. Su build a 64 bit size_t e ptrdiff_t sono di 8 byte.

Se avessi inviato una correzione ieri, il Coverity Connect di oggi continuerebbe a segnalare il difetto. Recensione raccolta e ospitata su G2.com.

Assegnare problemi agli utenti è semplicemente facile e con meno falsi positivi. Recensione raccolta e ospitata su G2.com.

La parte di reportistica e per i risultati richiede più tempo rispetto ad altre soluzioni. Recensione raccolta e ospitata su G2.com.

aiuta i team di sviluppo e sicurezza a affrontare i difetti di sicurezza e qualità precocemente nel ciclo di vita dello sviluppo software (SDLC). La cosa migliore di Coverity è che è altamente accurato, supporta migliaia di sviluppatori e analizza rapidamente grandi progetti che superano i 100 milioni di righe di codice. Recensione raccolta e ospitata su G2.com.

Alcuni punti che sicuramente necessitano di miglioramento sarebbero le perdite di risorse. dereferenziazioni di puntatori NULL. uso scorretto delle API. Recensione raccolta e ospitata su G2.com.

La sua interfaccia utente è intuitiva. È facile navigare nel codice usando Coverity e descrive anche brevemente il problema. Recensione raccolta e ospitata su G2.com.

Stavo affrontando problemi nel categorizzare le problematiche di Coverity. Recensione raccolta e ospitata su G2.com.

È facile usare lo strumento. E aiuta a trovare qualsiasi problema che viene trascurato nella revisione manuale. Recensione raccolta e ospitata su G2.com.

Lo strumento è piuttosto buono. È facile da configurare con linee guida adeguate. Recensione raccolta e ospitata su G2.com.

Eccellente interfaccia utente e funzionalità lato server. Anche il team di supporto di Coverity è molto reattivo. Recensione raccolta e ospitata su G2.com.

Non ho trovato alcun attributo del genere durante la mia esperienza. Recensione raccolta e ospitata su G2.com.

Facilità con cui si può produrre software altamente scalabile e affrontare problemi di sicurezza. Recensione raccolta e ospitata su G2.com.

Lo strumento Coverituy può aggiornarsi per fornire più contenuti ai suoi clienti. Recensione raccolta e ospitata su G2.com.