A bugok felderítésének java részét a Coverity szoftvere végzi, amelyik a Standford Checker továbbfejlesztéséből és a hozzárakott saját megoldásokból áll. A talált bugokat aztán a program osztályozza és hibáktól függően azok később emberi ellenőrzésen esnek át, hogy kiszűrhetővé válljanak a fals pozitív riasztások.
Szóval itt azért nem "igazi" emberek által végzett forráskód auditálásról van szó, a munka jórészét programok végzik (épp emiatt sajnos eléggé korlátozott az is, hogy milyen jellegű/típusú programozási hibákat talál csak meg).