“There’s something truly special happening in the static analysis world”
Daniel Cuthbert, соавтор OWASP ASVS, запустил трэд в твиттере, который начинается со слов о том, что современные SAST тяжелые, монолитные и весьма неуклюжие для встраивания в CI/CD за такую большую стоимость. По его мнению, чтобы "не тратить сотни тысяч на динозавров" стоит обратить внимание на LGTM и Semgrep, которые по его словам стали частью друг друга (подтверждению этому я не нашел). Далее он приводит несколько примеров использования Semgrep в проектах.
LGTM - облачная платформа для сканирования кода в GitHub от компании Semmle, которая в конце того года стала частью GitHub. Semmle также являются автором CodeQL, применение которого было анонисировано GitHub на своей онлайн-конференции Satellite.
Semgrep - CLI-инструмент для выполнения статического анализа за счет самописных правил. Semgrep совмещает в себе grep + Abstract Syntax Tree (AST) + dataflow, что делает его довольно удобным для поиска. К Semgrep есть также интерактивный редактор и встроенные правила от OWASP. Вот также статья про использование Semgrep.
#tools #sast #dev
Daniel Cuthbert, соавтор OWASP ASVS, запустил трэд в твиттере, который начинается со слов о том, что современные SAST тяжелые, монолитные и весьма неуклюжие для встраивания в CI/CD за такую большую стоимость. По его мнению, чтобы "не тратить сотни тысяч на динозавров" стоит обратить внимание на LGTM и Semgrep, которые по его словам стали частью друг друга (подтверждению этому я не нашел). Далее он приводит несколько примеров использования Semgrep в проектах.
LGTM - облачная платформа для сканирования кода в GitHub от компании Semmle, которая в конце того года стала частью GitHub. Semmle также являются автором CodeQL, применение которого было анонисировано GitHub на своей онлайн-конференции Satellite.
Semgrep - CLI-инструмент для выполнения статического анализа за счет самописных правил. Semgrep совмещает в себе grep + Abstract Syntax Tree (AST) + dataflow, что делает его довольно удобным для поиска. К Semgrep есть также интерактивный редактор и встроенные правила от OWASP. Вот также статья про использование Semgrep.
#tools #sast #dev