Coverity Avaliações e Detalhes do Produto

Às vezes encontra gravações de memória fora dos limites em C++ de tirar o fôlego. Análise coletada por e hospedada no G2.com.

Pouco progresso desde 2010; linguagens além de C/C++ extremamente fracas. Suporte inútil desde a aquisição pela Synopsys. Análise coletada por e hospedada no G2.com.

Eu adoro a funcionalidade de como a ferramenta Coverity da Synopsys pode detectar problemas no código e, assim, fornece uma maneira de tornar seu código muito mais otimizado. Análise coletada por e hospedada no G2.com.

Eu não gosto que às vezes há problemas de falso positivo para os quais não há uma solução perfeita, mas o Coverity indica como um bug. Mas sempre há uma maneira de declarar esse falso positivo e é bom o suficiente. Análise coletada por e hospedada no G2.com.

Ele tem recursos muito capazes e promissores que fornecem a um usuário a capacidade de depurar e analisar o código para tempos de execução mais rápidos. Eu usei essa ferramenta enquanto trabalhava no meu projeto. A qualidade do suporte ao produto é incrível, eles realmente me ajudaram muito, o que reduz tempo e esforço, e torna meu código o melhor. Análise coletada por e hospedada no G2.com.

Tem alguns bugs para corrigir, mas pode encontrar as soluções por causa do suporte ao produto. Análise coletada por e hospedada no G2.com.

Usamos a ferramenta de Análise Estática Coverity para verificações de segurança do código de servidor em C/C++.

A Coverity tem uma taxa de detecção mais alta, pois confiamos muito nessa verificação de código para nosso código de aplicação.

Integramos perfeitamente essa ferramenta SAST (Coverity) ao nosso Pipeline CI/CD e as vulnerabilidades eram notificadas ao respectivo desenvolvedor via e-mail.

Ela fornece um mecanismo para auditar as descobertas e marcar falsos positivos de maneira eficiente.

O suporte para várias linguagens é outro fator que se destaca bem quando comparado a outras ferramentas.

O tempo que leva para escanear grandes linhas de código é significativamente mais rápido em comparação com outras ferramentas. Análise coletada por e hospedada no G2.com.

No entanto, há alguns pontos de melhoria que achei que deveria destacar para tornar esta ferramenta ainda melhor para os usuários finais.

strzcpy vs. NULL_STRING

O Coverity não reconhece que strzcpy adiciona um x00 de terminação.

ab_pfetch*

No Windows, atualmente temos muitos falsos positivos de OVERRUN.

bsearch em tabela de largura fixa vs. Literal

O modelo do Coverity para bsearch assume que bsearch acessa a chave na largura total da chave. Se bsearch recebe uma tabela de tamanho fixo (máximo) e, por exemplo, strcmp como função de comparação, então, na realidade, quando bsearch é chamado com um literal pequeno como chave, tudo está bem. Infelizmente, o Coverity pensa que bsearch lerá além do final do literal, mesmo que strcmp não o faça.

NO_EFFECT em var_arg

No Windows, atualmente temos um aviso de NO_EFFECT em todos os usos de va_args.

TAINTED_SCALAR

Coverity para alertar sobre usos de dados contaminados, dados que podem ser controlados por um atacante. Isso pode levar à corrupção de dados, injeção de código,...

Quando possível, o Coverity relata defeitos adicionais descrevendo o uso perigoso dos dados contaminados INTEGER_OVERFLOW.

RW.LITERAL_OPERATOR_NOT_FOUND em printf com TEL_Format

Ao usar o formato definido TEL, como TEL_Flpu, TEL_Fsu, TEL_Fpid,... o Coverity às vezes requer um espaço antes do 'T' de TEL_Fxxx.

TAINTED_STRING

Coverity para alertar sobre usos de dados contaminados, dados que podem ser controlados por um atacante. Isso pode levar à corrupção de dados, injeção de código, injeção de SQL, travessia de diretórios,

PW.PRINTF_ARG_MISMATCH - * precisão ou * tamanho vs. parâmetros size_t ou ptrdiff_t

Compilações ou verificações de 64 bits - O padrão C afirma que a * precisão ou tamanho são do tipo int. Isso geralmente é de 4 bytes. Em compilações de 64 bits, size_t e ptrdiff_t são de 8 bytes.

Se eu tivesse enviado uma correção ontem, o Coverity Connect de hoje continuaria a relatar o defeito. Análise coletada por e hospedada no G2.com.

Atribuir problemas aos usuários é simplesmente fácil e com menos falsos positivos. Análise coletada por e hospedada no G2.com.

A parte de relatórios e para os resultados leva mais tempo do que outras soluções. Análise coletada por e hospedada no G2.com.

ajuda as equipes de desenvolvimento e segurança a resolver defeitos de segurança e qualidade no início do ciclo de vida do desenvolvimento de software (SDLC). A melhor coisa sobre o Coverity é que ele é altamente preciso, suporta milhares de desenvolvedores e analisa rapidamente grandes projetos que excedem 100 milhões de linhas de código. Análise coletada por e hospedada no G2.com.

Alguns pontos que definitivamente precisam de melhorias seriam vazamentos de recursos, desreferências de ponteiros NULL e uso incorreto de APIs. Análise coletada por e hospedada no G2.com.

Sua interface amigável. É fácil navegar pelo código usando o Coverity e também descreve brevemente o problema. Análise coletada por e hospedada no G2.com.

Eu estava enfrentando problemas em categorizar os problemas do Coverity. Análise coletada por e hospedada no G2.com.

É fácil usar a ferramenta. E ajuda a encontrar qualquer problema que é negligenciado na revisão manual. Análise coletada por e hospedada no G2.com.

A ferramenta é muito boa. É fácil de configurar com diretrizes adequadas. Análise coletada por e hospedada no G2.com.

Excelente interface do usuário e recursos do lado do servidor. A equipe de suporte da Coverity também é muito responsiva. Análise coletada por e hospedada no G2.com.

Eu não encontrei nenhum atributo desse tipo durante minha experiência. Análise coletada por e hospedada no G2.com.

Facilidade com que produzimos software altamente escalável e resolvemos problemas de segurança. Análise coletada por e hospedada no G2.com.

A ferramenta Coverituy pode atualizar para fornecer mais conteúdo aos seus clientes. Análise coletada por e hospedada no G2.com.