Nur halb aussagekraeftig

Bitte vergessen, dass es hier um OS-Software geht - Coverity testet auch propriaetere Software.

Leider sind die Tests nur von sehr geringer Aussagekraft. Zwar werden kleine Fehler, die oft uebersehen werden recht gut erkannt, aber wahre Fehler kann das Tool nicht esten. Hier koennen nur sehr gute, spezialisierte Unittests bzw. Regressiontests helfen.

Ich habe hier zum Beispiel propriaetere Treiber, die von Coverity ein sehr gut bescheinigt bekommen haben. Aus diesem (und nur aus diesem Grund) wurde vom Projektleiter der kommerzielle Treiber inklusive Quellcode vom Hersteller gekauft, statt den freien Treiber aus dem Kernel zu evaluiieren, der eben nicht bei Coverity eine so geringe Fehlerzahl bei einem vorhergehenden Test aufgewiesen hat (als Teil des Tests von Linux bei Coverity). Resultat ist: Nur Kernel Oopses, viele Funktionen gehen einfach gar bei dem Treiber nicht, die Code-Qualitaet ist durch viele "wir schreiben einfach mal wild im Speicher rum, statt mal Strukturen dafuer anzulegen - und wenn wir das doch machen, dann werden mehrere Strukturen fuer den gleichen Speicherbereich benutzt, da wir casten koennen und uns Magie sagt, welche Struktur gerade richtig ist" einfach komplett unlesbar ist. Also bitte, bevor jemand Coverity wirklich als Tool zum feststellen der Codequalitaet nutzt, bitte daran denken, dass dieses Tool nur einen winzigen Teil des Eisberges sehen kann. Lasst euch die Treiber (oder die andere Software) vorkompiliert geben und zahlt erst wenn ihr selber getestet habt, ob die ueberhaupt in eurem Anwendungsgebiet funktioniert.

--
Alternative Instant Messenger auf unseren Servern? Nein, danke!
* ICQ
* Windows Live Messenger
* AIM
* Yahoo! Messenger

Eigentlich sollte Coverity nur als Entlassungs-Grund nutzbar sein.

Die Tools finden teilweise nur primitive Fehler wie Du richtig feststellst.

Teilweise kann man die durch verbieten von bestimmten Funktionen (z.b. strcmp ohne längenbegrenzung usw.) auch verhindern.

Du beschreibst gut, was C-Spacken gerne machen. Vielen Dank.
Manchmal denke ich mir, ich wäre der einzige hier.

Das schlimme ist ja, das die Spacken denken, sie lägen richtig.
Die sind vollkommen lernbefreit und glauben nur ihre Bücher. So wie im Physik-LK wo diese Typen wohl meist her-stammen. Auswendig lernen und irgendwie anwenden. Flexibel sein kümmert kein(en).

Sauberes Design spart vielleicht die meisten Fehler.
Ein TÜV checkert Neubauten/Umbauten für ca. 3% des Auftragswertes. Erst die Pläne ("hier Fehler kosten später am meisten, wenn man sie wegmachen will"), dann Besuche auf der Baustelle (Subsubsubunternehmer wissen halt nix. Ein einstöckiges Haus in Spanien/Türkei/... oder eine Lehmhütte geht so, aber nicht ein mehrstöckges ThermoschutzEnergieSparhaus in Deutschland).

Unit-Tests vorher geschrieben zeigen auch, wie die Lib benutzt werden soll. Dann proggert man gleich zielorientierter und muss hoffentlich weniger nachlegen (wie xslt2 wo Sachen drin sind, die ich nach 1 Woche mit xslt1 schon gerne gehabt hätte. "Danke" W3C :-((().