Привет!
Что общего у статического анализа исходного кода и Elasticsearch? Например, проект BugHound! Простой SAST, анализирующий PHP и Java (в будущем планируется расширение перечня поддерживаемых языков).
Принцип работы BugHound достаточно прост:
🍭 Построение дерева файлов, находящихся в проекте
🍭 Анализ файлов для идентификации небезопасных функций/методов (в большей степени реализовано через regex)
🍭 Сбор результатов с последующей передачей в Kibana для отображения на преднастроенных dashboard
Полноценным SAST назвать такое решение нельзя, но проект интересен тем, как автор связал несколько технологий. Возможно, такой подход будет кому-то интересен для реализации у себя. Больше про BugHound можно почитать по ссылке.
Что общего у статического анализа исходного кода и Elasticsearch? Например, проект BugHound! Простой SAST, анализирующий PHP и Java (в будущем планируется расширение перечня поддерживаемых языков).
Принцип работы BugHound достаточно прост:
🍭 Построение дерева файлов, находящихся в проекте
🍭 Анализ файлов для идентификации небезопасных функций/методов (в большей степени реализовано через regex)
🍭 Сбор результатов с последующей передачей в Kibana для отображения на преднастроенных dashboard
Полноценным SAST назвать такое решение нельзя, но проект интересен тем, как автор связал несколько технологий. Возможно, такой подход будет кому-то интересен для реализации у себя. Больше про BugHound можно почитать по ссылке.