Почему SAST на правилах не видит 50% уязвимостей: опыт аудита собственной кодовой базы Я думал, у меня всё чи…
Почему SAST на правилах не видит 50% уязвимостей: опыт аудита собственной кодовой базы Я думал, у меня всё чисто. Bandit стоял, правила регулярно обновлялись, pipeline на каждый PR ругался на опасные места. Ну, знаете, как это бывает: где-то что-то подсветит, мы правим, живём дальше, чувствуем себя молодцами, прикрыв тыл статическим анализом.А потом я решил копнуть глубже. Не для галочки, а руками, с инструментом, который умеет ходить по коду не линейно, а как по графу.Знаете, сколь... https://clck.ru/3Sbzb9
Автор: Habr все новости об IT