<html><head></head><body><div dir="auto">Thanks a lot for this work Nyall. <br>As regulations arise on cyber security increase, we will clearly need to find workarounds for the GitHub actions limitations. Those regulations will make it mandatory to prove we have automated scan running, on a regular basis or per continuous integration processes <br>Some tests have already been made with dedicated machines to see if hosting our own runners would help.<br><br>With your insights we know that static analyzers will need resources. <br>Do you have rough estimates of what specifications are required for disk space, memory and CPU so that we can run with comfort and maybe on a daily or weekly basis? <br><br>Great work again. <br>Cheers<br>Régis </div><br><br><div class="gmail_quote"><div dir="auto">Le 10 novembre 2025 02:34:59 GMT+01:00, Nyall Dawson via QGIS-PSC <qgis-psc@lists.osgeo.org> a écrit :</div><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<div dir="ltr">Hi PSC,<br><div><br></div><div>I'd like to report the successful conclusion of the 2025 funding grant for QEP 337: Coverity Scan</div><div>cleanup!</div><div><br></div><div>As detailed in the original proposal, this project has seen a massive cleanup to the QGIS code base via hundreds of fixes to issues reported by the Coverity Scan tool.</div><div><br></div><div>From the original 1075 issues identified by Coverity Scan at the start of the project, we are now down to 145 remaining outstanding issues. All false positive issues have been marked accordingly, and many fixes submitted to QGIS to remedy valid issues in the QGIS code.</div><div><br></div><div>The remaining issues are either non-trivial to fix (i.e. requiring large architectural changes) or ambiguous (in that the original intention of the code is not clear, and I'm unable to determine if the issues are valid or working as expected). It is hoped that by clearing out the bulk of the Coverity results, future bug fixing efforts will be able to focus attention on these remaining issues and eventually lead to QGIS achieving "Coverity Clean" status.</div><div><br></div><div>All applicable (and safe!) fixes have been backported to stable QGIS releases too.</div><div><br></div><div>As part of this project, several downstream projects also saw fixes submitted:</div><div><br></div><div>- The MDAL library is now completely "coverity clean", with no outstanding issues remaining. Coverity Scan is now run on the MDAL codebase on a weekly basis, in order to quickly identify and remedy any issues in any newly introduced code.</div><div>- Fixes and performance improvements have been submitted to the laz-perf, untwine, PDAL wrench and tinygltf libraries.</div><div><br>As detailed in the original proposal, an investigation was also conducted to determine whether it is possible to automatically run the Coverity Scan tool on a weekly basis as a GitHub action for QGIS. My finding was that this is NOT possible to achieve via GitHub actions, as the compilation using the coverity cov-build tool ends up exceeding the maximum available space on the workflow runners. (see <a href="https://github.com/nyalldawson/QGIS/tree/coverity_workflow" rel="noreferrer" target="_blank">https://github.com/nyalldawson/QGIS/tree/coverity_workflow</a> for the attempted workflow configuration).<br><br>While not part of the original proposal or grant, I will continue to run Coverity Scan on an ad-hoc basis on the QGIS codebase in order to quickly identify and resolve any newly introduced issues.</div><div><br></div><div>My thanks to the PSC and QGIS sponsors for making this work possible!</div><div><br>Kind regards,<br>Nyall<br><br></div></div>
</blockquote></div></body></html>