<div dir="ltr">Hi<br><div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Dec 17, 2013 at 4:34 PM, Tomas Hozza <span dir="ltr"></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Publishing scan results for all Fedora packages might not be very good idea,<br>
since the static analysis can find issues with possible security impact.<br></blockquote><div> </div><div>Sure and if someone wants to understand that security impact inorder to exploit they can always use coverity right now to find it out but if this is really a concern, one could easily gate access to the reports using FAS. <br>
 <br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Also Coverity offers their tool to open-source projects for free [1]. I think<br>
some projects are already using it (at least Squid). So if upstream projects<br>
are interested, they can sign up for free.<br></blockquote><div><br></div><div>That is true but it is clear that majority of projects are not doing that and as a distributor of thousands of projects,  I think Fedora can be provide a good value for upstream and itself by doing in a central place proactively.  Red Hat is already doing it for some packages.  Just need to find a way to increase that coverage and provide the reports in a way accessible to volunteer Fedora package maintainers.<br>
<br></div><div>Rahul <br></div></div></div></div></div>