home.social

#граф_свойств_кода — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #граф_свойств_кода, aggregated by home.social.

  1. Habr @[email protected] ·

    6 языков из 6 по ГОСТ Р 71207-2024: как я перестал гадать по двадцати строкам вокруг вызова

    Я довольно долго жил с привычной инженерной отговоркой: ну да, поиск по шаблонам шумит, зато работает быстро. Где-то подсветит лишнее, где-то что-то пропустит, но в целом жить можно. Так обычно и живут, пока не появляется внешний корпус, который не интересуют наши внутренние оправдания. У меня таким холодным душем стал свежий прогон sa-tests-db по ГОСТ Р 71207-2024 на текущем HEAD CodeGraph. Это уже не история в духе «нам кажется, стало лучше». Тут либо проходишь критерий, либо нет. Причём не по красивой суммарной цифре, а по каждому типу ошибки отдельно. И вот здесь самое интересное: что именно пришлось добавить в анализатор, чтобы он перестал смотреть на код как на набор соседних строк и начал видеть реальные пути данных.

    habr.com/ru/articles/1014046/

    #анализ_потоков_данных #статический_анализ #уязвимости #SQLинъекция #граф_свойств_кода #поток_данных

    #поток_данных #граф_свойств_кода #sqlинъекция #уязвимости #статический_анализ #анализ_потоков_данных
  2. Habr @[email protected] ·

    Почему SAST на правилах не видит 50% уязвимостей: опыт аудита собственной кодовой базы

    Я думал, у меня всё чисто. Bandit стоял, правила регулярно обновлялись, pipeline на каждый PR ругался на опасные места. Ну, знаете, как это бывает: где-то что-то подсветит, мы правим, живём дальше, чувствуем себя молодцами, прикрыв тыл статическим анализом. А потом я решил копнуть глубже. Не для галочки, а руками, с инструментом, который умеет ходить по коду не линейно, а как по графу. Знаете, сколько нашлось?

    habr.com/ru/articles/1011938/

    #статический_анализ_безопасности #ложные_срабатывания #граф_свойств_кода #анализ_потоков_данных

    #анализ_потоков_данных #граф_свойств_кода #ложные_срабатывания #статический_анализ_безопасности