Hey folks,<div><br></div><div>TL;DR - If you have opinions one way or another about having a Coverity instance available for WebKit developers, please respond to this message.</div><div><br></div><div><br></div><div>Coverity is a static analysis tool [1] which scans source code and reports defects in the code.  We&#39;ve been using Coverity to find defects in Chrome for a while now, and though there is sometimes a bit of subjectivity involved in the defect types (e.g. whether a return value should be checked), the signal is generally high.</div>

<div><br></div><div>Off the top of my head, the following are the defects I spend most of my time fixing:</div><div>* Uninitialized variables (including member variables).</div><div>  - Chrome has had at least 4 crash fixes in the past few months due to this defect (which were caught by Coverity).</div>

<div>* Passing large parameters by value.</div><div>  - Generally a trivial fix.  I don&#39;t have performance data to say what affect fixing these hash, but &#39;death by a thousand cuts&#39; eh?</div><div>* Forward/Reverse/I - Nulls.</div>

<div>  - Coverity is very good at understanding when a value is NULL and the tool will tell you which code paths are using a NULL value.</div><div>* Tons of security issue-causing defects.</div><div><br></div><div><br></div>

<div>I&#39;d like to propose adding a Coverity instance for the WebKit community, but I want to make sure there&#39;s general support before writing up the detailed proposal.</div><div><br></div><div>A few details:</div>
<div>
* Google will front the cost of the license (non-zero...very far from zero) and the infrastructure.</div><div>* I&#39;d leave it up to the WebKit leadership to decide who has access (most likely limited to WebKit committers for security purposes).</div>

<div><br></div><div>The biggest rationale is to provide a strong defect signal for the entire WebKit community, which would directly impact the success of all WebKit-based projects.  Coverity has provided free licenses for unsponsored (by larger corporations anyway) open-source projects; this has resulted in significant improvements [2] to the code bases of these projects, one of which I was directly involved with years ago (Wine).</div>

<div><br></div><div>Let me know if you love the idea or hate it.</div><div><br></div><div>Thanks,</div><div>James</div><div><br></div><div><br></div><div>[1] <a href="http://www.coverity.com/products/static-analysis.html">http://www.coverity.com/products/static-analysis.html</a></div>

<div>[2] <a href="http://softwareintegrity.coverity.com/coverity-scan-2011-open-source-integrity-report-registration.html">http://softwareintegrity.coverity.com/coverity-scan-2011-open-source-integrity-report-registration.html</a> - registration required now :(</div>

<div><br></div>