Parfois trouve des écritures de mémoire hors limites en C++ à couper le souffle. Avis collecté par et hébergé sur G2.com.

Peu de progrès depuis 2010 ; les langages autres que C/C++ sont extrêmement faibles. Support inutile depuis la prise de contrôle par Synopsys. Avis collecté par et hébergé sur G2.com.

J'adore la fonctionnalité de l'outil Coverity par Synopsys qui peut détecter les problèmes dans le code et ainsi fournir un moyen de rendre votre code beaucoup plus optimisé. Avis collecté par et hébergé sur G2.com.

Je n'aime pas que parfois il y ait des problèmes de faux positifs pour lesquels il n'y a pas de solution parfaite, mais Coverity l'indique comme un bug. Mais il y a toujours un moyen de déclarer ce faux positif et c'est suffisamment bon. Avis collecté par et hébergé sur G2.com.

Il a des fonctionnalités très capables et prometteuses qui permettent à un utilisateur de déboguer et d'analyser le code pour des temps d'exécution plus rapides. J'ai utilisé cet outil dans mon projet. La qualité du support produit est impressionnante, ils m'ont vraiment beaucoup aidé, ce qui réduit le temps et l'effort, et rend mon code optimal. Avis collecté par et hébergé sur G2.com.

Il a quelques bugs à corriger mais peut trouver les solutions grâce à leur support produit. Avis collecté par et hébergé sur G2.com.

Nous utilisons l'outil d'analyse statique Coverity pour les analyses de sécurité du code serveur C/C++. Coverity a un taux de détection plus élevé car nous comptons beaucoup sur cette analyse de code pour notre code d'application. Nous avons intégré de manière transparente cet outil SAST (Coverity) à notre pipeline CI/CD et les vulnérabilités étaient notifiées au développeur concerné par mail. Il offre un mécanisme pour auditer les résultats et marquer les faux positifs de manière efficace. Le support de plusieurs langues est un autre facteur qui se distingue bien par rapport à d'autres outils. Le temps qu'il faut pour analyser de grandes lignes de code est significativement plus rapide par rapport à d'autres outils. Avis collecté par et hébergé sur G2.com.

Cependant, il y a quelques points d'amélioration que je pense devoir souligner pour rendre cet outil encore meilleur pour les utilisateurs finaux.

strzcpy vs. NULL_STRING

Coverity ne reconnaît pas que strzcpy ajoute un x00 terminal.

ab_pfetch*

Sur Windows, nous avons actuellement de nombreux faux positifs d'OVERRUN.

bsearch sur table à largeur fixe vs. Littéral

Le modèle de Coverity pour bsearch suppose que bsearch accède à la clé sur toute la largeur de la clé. Si bsearch reçoit une table de taille fixe (maximale), et par exemple strcmp comme fonction de comparaison, alors en réalité, lorsque bsearch est appelé avec un petit littéral comme clé, tout va bien. Hélas, Coverity pense que bsearch lira au-delà de la fin du littéral, même si strcmp ne le fera pas.

NO_EFFECT sur var_arg

Sur Windows, nous avons actuellement un avertissement NO_EFFECT sur toutes les utilisations de va_args.

TAINTED_SCALAR

Coverity avertit pour les utilisations de données contaminées, des données qui pourraient être contrôlées par un attaquant. Cela peut conduire à une corruption de données, une injection de code,...

Lorsque c'est possible, Coverity signale des défauts supplémentaires décrivant l'utilisation dangereuse des données contaminées INTEGER_OVERFLOW.

RW.LITERAL_OPERATOR_NOT_FOUND sur printf avec TEL_Format

Lors de l'utilisation de formats définis par TEL tels que TEL_Flpu, TEL_Fsu, TEL_Fpid,... Coverity nécessite parfois un espace avant le 'T' de TEL_Fxxx.

TAINTED_STRING

Coverity avertit pour les utilisations de données contaminées, des données qui pourraient être contrôlées par un attaquant. Cela peut conduire à une corruption de données, une injection de code, une injection SQL, une traversée de répertoire,

PW.PRINTF_ARG_MISMATCH - * précision ou * taille vs. paramètres size_t ou ptrdiff_t

Constructions ou analyses 64 bits - La norme C stipule que la * précision ou taille sont de type int. Cela représente généralement 4 octets. Sur les constructions 64 bits, size_t et ptrdiff_t sont de 8 octets.

Si j'avais soumis une correction hier, Coverity Connect d'aujourd'hui continuerait à signaler le défaut. Avis collecté par et hébergé sur G2.com.

Attribuer des problèmes aux utilisateurs est simplement facile et moins de faux positifs. Avis collecté par et hébergé sur G2.com.

La partie de rapport et pour les résultats, cela prend plus de temps que d'autres solutions. Avis collecté par et hébergé sur G2.com.

aide les équipes de développement et de sécurité à résoudre les défauts de sécurité et de qualité tôt dans le cycle de vie du développement logiciel (SDLC). La meilleure chose à propos de Coverity est qu'il est très précis, prend en charge des milliers de développeurs et analyse rapidement de grands projets dépassant 100 millions de lignes de code. Avis collecté par et hébergé sur G2.com.

Quelques points qui nécessitent certainement une amélioration seraient les fuites de ressources, les déréférencements de pointeurs NULL et l'utilisation incorrecte des API. Avis collecté par et hébergé sur G2.com.

Son interface utilisateur conviviale. Il est facile de parcourir le code en utilisant Coverity et il décrit également brièvement le problème. Avis collecté par et hébergé sur G2.com.

Je rencontrais des problèmes pour catégoriser les problèmes Coverity. Avis collecté par et hébergé sur G2.com.

Il est facile d'utiliser l'outil. Et aide à trouver tout problème qui est négligé lors de la révision manuelle. Avis collecté par et hébergé sur G2.com.

L'outil est assez bon. Il est facile à configurer avec des directives appropriées. Avis collecté par et hébergé sur G2.com.

Excellente interface utilisateur et fonctionnalités côté serveur. L'équipe de support Coverity est également très réactive. Avis collecté par et hébergé sur G2.com.

Je n'ai trouvé aucun attribut de ce type pendant mon expérience. Avis collecté par et hébergé sur G2.com.

Facilité avec laquelle nous produisons un logiciel hautement évolutif et abordons les problèmes de sécurité. Avis collecté par et hébergé sur G2.com.

L'outil Coverituy peut être mis à jour pour offrir plus de contenu à ses clients. Avis collecté par et hébergé sur G2.com.