Недавно зарегистрированный наблюдатель в проекте с открытым исходным кодом сканирования с открытыми исходными текстами, скручивающийся сканированный 23/JAN/2017, показывающий 0 дефектов. Я знаю, что это неправильный ответ. Нужно ли мне настраивать, настраивать, инициализировать и т. Д., Использовать его в первый раз?вновь зарегистрированный наблюдатель в исследовании покрытия с открытым исходным кодом, скрученный сканер 23/JAN/2017, показывающий 0 дефектов
ответ
Решено.
Я самостоятельно запускал Coverity Connect на последнем curl-7.52.1. Он нашел 28 выпусков.
1 выглядит, возможно, серьезным. Я сообщил об этом cURL org через их личное электронное письмо по вопросам безопасности. Они обнаружили, что это не проблема безопасности.
Вторая проблема была крошечной утечкой памяти на кромке. Я отправил PR-запрос на поставку, чтобы исправить это. Мой PR был не совсем прав, но разработчики cURL улучшили его и объединили PR.
Я думаю, что у остальных 27 вопросов нет проблем. Покровность False Положительные и т. П. На мой взгляд, код cURL находится в отличном состоянии. Спасибо Даниилу и команде!
Я считаю, что PR показывает, что был хотя бы 1 дефект, хотя и крошечный 1. Проект с открытым исходным текстом Coverity Scan сообщает 0 дефектов.
Моя цель - следовать принципу в одном из моих курсов по безопасности «доверять, но проверять». Я хотел объяснить расхождение в количестве дефектов.
Я отправил по электронной почте [email protected], но не получил ответа. С другой стороны, Дэниел и другие люди из CURL были очень полезны.
После некоторых RTFM мне удалось найти эти 2 вопроса, представляющие интерес в Coverity Scan. CID 1241956 отмечен Intentional, Ignore. CID 1202879 отмечен False Positive, Ignore.
My новичок вопрос разрешен.
Скрытность сканирования curl, выполненная на jan 23 2017, не обнаружила новых дефектов (и не имела старых дефектов). Это не так. Вот что сказала крышка. –