И снова всем привет!
По ссылке доступно видео, где рассказывают про методы статического анализа приложений, без привязки к vendor или open source продуктам.
Автор «на пальцах» объясняет, как работают SAST-инструменты, какие типы анализа они осуществляют, например:
🍭 Pattern matching analysis
🍭 Control flow analysis
🍭 Data flow analysis/Taint analysis/String Analysis/Lost Sink
Про каждый из подходов приводится небольшой пример, а в завершении формируется ответ на вопрос: «Почему так много false positive в out-of-the box SAST и почему это нормально?»
Ролик может оказаться полезным для специалистов, которые хотят узнать, как это «работает внутри» на простых примерах и что SAST это не только pattern matching на слово «password» 😜
P.S. Не пугайтесь 2015 году, на наш взгляд для концептуально-образовательных целей видео все еще подходит как нельзя лучше
По ссылке доступно видео, где рассказывают про методы статического анализа приложений, без привязки к vendor или open source продуктам.
Автор «на пальцах» объясняет, как работают SAST-инструменты, какие типы анализа они осуществляют, например:
🍭 Pattern matching analysis
🍭 Control flow analysis
🍭 Data flow analysis/Taint analysis/String Analysis/Lost Sink
Про каждый из подходов приводится небольшой пример, а в завершении формируется ответ на вопрос: «Почему так много false positive в out-of-the box SAST и почему это нормально?»
Ролик может оказаться полезным для специалистов, которые хотят узнать, как это «работает внутри» на простых примерах и что SAST это не только pattern matching на слово «password» 😜
P.S. Не пугайтесь 2015 году, на наш взгляд для концептуально-образовательных целей видео все еще подходит как нельзя лучше