Coverity Bewertungen & Produktdetails

Manchmal findet atemberaubende C++-Speicherzugriffe außerhalb der Grenzen. Bewertung gesammelt von und auf G2.com gehostet.

Wenig Fortschritt seit den 2010er Jahren; andere Sprachen als C/C++ sind extrem schwach. Nutzlose Unterstützung seit der Übernahme durch Synopsys. Bewertung gesammelt von und auf G2.com gehostet.

Ich liebe die Funktion, wie das Coverity-Tool von Synopsys Probleme im Code erkennen kann und somit eine Möglichkeit bietet, den Code wesentlich optimierter zu gestalten. Bewertung gesammelt von und auf G2.com gehostet.

Ich mag es nicht, dass es manchmal falsche positive Probleme gibt, für die es keine perfekte Lösung gibt, aber Coverity zeigt es als Fehler an. Aber es gibt immer eine Möglichkeit, diesen falschen positiven Wert zu deklarieren, und das ist gut genug. Bewertung gesammelt von und auf G2.com gehostet.

Es hat sehr fähige und vielversprechende Funktionen, die einem Benutzer ermöglichen, den Code zu debuggen und zu analysieren, um schnellere Laufzeiten zu erreichen. Ich habe dieses Tool in meinem Projekt verwendet. Die Qualität des Produktsupports ist großartig, sie haben mir tatsächlich sehr geholfen, was Zeit und Aufwand reduziert und meinen Code verbessert. Bewertung gesammelt von und auf G2.com gehostet.

Es hat einige Fehler zu beheben, aber kann die Lösungen dafür finden wegen ihres Produktsupports. Bewertung gesammelt von und auf G2.com gehostet.

Wir verwenden das Coverity Static Analysis Tool für Sicherheitsscans von C/C++ Servercode. Coverity hat eine höhere Erkennungsrate, da wir stark auf diesen Code-Scan für unseren Anwendungscode angewiesen sind. Wir haben dieses SAST-Tool (Coverity) nahtlos in unsere CI/CD-Pipeline integriert und die Schwachstellen wurden dem jeweiligen Entwickler per E-Mail mitgeteilt. Es bietet einen Mechanismus, um die Ergebnisse zu überprüfen und falsch-positive Ergebnisse effizient zu markieren. Die Unterstützung für mehrere Sprachen ist ein weiterer Faktor, der im Vergleich zu anderen Tools herausragt. Die Zeit, die benötigt wird, um große Codezeilen zu scannen, ist im Vergleich zu anderen Tools deutlich schneller. Bewertung gesammelt von und auf G2.com gehostet.

Es gibt jedoch einige Verbesserungspunkte, die ich hervorheben möchte, um dieses Tool für die Endbenutzer noch besser zu machen.

strzcpy vs. NULL_STRING

Coverity erkennt nicht, dass strzcpy ein abschließendes x00 hinzufügt.

ab_pfetch*

Unter Windows haben wir derzeit viele falsche OVERRUN-Positivmeldungen.

bsearch auf fester Breitentabelle vs. Literal

Coveritys Modell für bsearch geht davon aus, dass bsearch den Schlüssel über die volle Breite des Schlüssels zugreift. Wenn bsearch eine feste (maximale) Größentabelle gegeben wird und z.B. strcmp als Vergleichsfunktion, dann ist in Wirklichkeit alles in Ordnung, wenn bsearch mit einem kleinen Literal als Schlüssel aufgerufen wird. Leider denkt Coverity, dass bsearch über das Ende des Literals hinaus lesen wird, obwohl strcmp dies nicht tut.

NO_EFFECT auf var_arg

Unter Windows haben wir derzeit eine NO_EFFECT-Warnung bei allen Verwendungen von va_args.

TAINTED_SCALAR

Coverity warnt vor der Verwendung von kontaminierten Daten, Daten, die von einem Angreifer kontrolliert werden könnten. Dies kann zu Datenkorruption, Code-Injektion,... führen. Wenn möglich, meldet Coverity zusätzliche Defekte, die die gefährliche Verwendung der kontaminierten Daten beschreiben, wie INTEGER_OVERFLOW.

RW.LITERAL_OPERATOR_NOT_FOUND bei printf mit TEL_Format

Bei der Verwendung von TEL-definierten Formaten wie TEL_Flpu, TEL_Fsu, TEL_Fpid,... erfordert Coverity manchmal ein Leerzeichen vor dem 'T' von TEL_Fxxx.

TAINTED_STRING

Coverity warnt vor der Verwendung von kontaminierten Daten, Daten, die von einem Angreifer kontrolliert werden könnten. Dies kann zu Datenkorruption, Code-Injektion, SQL-Injektion, Verzeichnis-Traversierung führen.

PW.PRINTF_ARG_MISMATCH - * Präzision oder * Größe vs. size_t oder ptrdiff_t Parameter

64-Bit-Builds oder Scans - Der C-Standard besagt, dass die * Präzision oder Größe vom Typ int sind. Dies sind in der Regel 4 Bytes. Bei 64-Bit-Builds sind size_t und ptrdiff_t 8 Bytes.

Wenn ich gestern eine Korrektur eingereicht hätte, würde Coverity Connect heute weiterhin den Defekt melden. Bewertung gesammelt von und auf G2.com gehostet.

Das Zuweisen von Problemen an Benutzer ist einfach und führt zu weniger Fehlalarmen. Bewertung gesammelt von und auf G2.com gehostet.

Berichtsteil und für Ergebnisse benötigt es mehr Zeit als andere Lösungen. Bewertung gesammelt von und auf G2.com gehostet.

hilft Entwicklungs- und Sicherheitsteams, Sicherheits- und Qualitätsmängel früh im Softwareentwicklungslebenszyklus (SDLC) zu beheben. Das Beste an Coverity ist, dass es hochpräzise ist, Tausende von Entwicklern unterstützt und große Projekte mit über 100 Millionen Codezeilen schnell analysiert. Bewertung gesammelt von und auf G2.com gehostet.

Einige Punkte, die definitiv verbessert werden müssen, wären Ressourcenlecks, Dereferenzierungen von NULL-Zeigern und die falsche Verwendung von APIs. Bewertung gesammelt von und auf G2.com gehostet.

Seine benutzerfreundliche Benutzeroberfläche. Es ist einfach, Code mit Coverity zu durchsuchen, und es beschreibt auch kurz das Problem. Bewertung gesammelt von und auf G2.com gehostet.

Ich hatte Probleme bei der Kategorisierung der Coverity-Probleme. Bewertung gesammelt von und auf G2.com gehostet.

Es ist einfach, das Werkzeug zu benutzen. Und es hilft, jedes Problem zu finden, das bei der manuellen Überprüfung übersehen wird. Bewertung gesammelt von und auf G2.com gehostet.

Das Werkzeug ist ziemlich gut. Es ist einfach einzurichten mit den richtigen Richtlinien. Bewertung gesammelt von und auf G2.com gehostet.

Ausgezeichnete Benutzeroberfläche und serverseitige Funktionen. Das Coverity-Support-Team ist auch sehr reaktionsschnell. Bewertung gesammelt von und auf G2.com gehostet.

Ich habe während meiner Erfahrung kein solches Attribut gefunden. Bewertung gesammelt von und auf G2.com gehostet.

Leichtigkeit, mit der wir hoch skalierbare Software produzieren und Sicherheitsprobleme angehen. Bewertung gesammelt von und auf G2.com gehostet.

Das Coverituy-Tool kann aktualisiert werden, um seinen Kunden mehr Inhalte bereitzustellen. Bewertung gesammelt von und auf G2.com gehostet.