Статический анализ кода SAST | OTUS
+7 499 938-92-02
Блоги Посты Лучшие Участники
Поиск
Поиск
Андрей Павленко
14.01.23 в 16:44

Статический анализ кода SAST

DevOpsПолезные материалы по DevOps
Теги: devsecops, sast

Практическая трансформация DevOps в DevSecOps потребует применения ряда подходов. Один из них -- SAST.

SAST представляет собой статический анализ кода на наличие уязвимостей, однако это совсем не то же самое, что SonarQube. В случае с SAST проверка осуществляется не только по стилю или паттернам, так как тут анализ производится:

  • по DataFlow;
  • по дереву уязвимостей;
  • по конфигурационным файлам и т. д., то есть мы говорим обо всем, что непосредственно касается кода.

Плюсы очевидны:

1) уязвимости выявляются в коде на раннем этапе разработки, то есть тогда, когда еще нет ни стендов, ни готового инструмента; 2) появляется возможность инкрементального сканирования. Речь идет о сканировании конкретного участка кода, в который были внесены изменения, а также о сканировании только той фичи, которая сейчас в разработке, что в итоге приводит к снижению времени сканирования.

Но есть и минусы, например, отсутствие поддержки нужных языков.

Необходимые интеграции

Среди необходимых интеграций, которые должны быть в инструментах, специалисты выделяют следующие:

  1. Инструмент интеграции: TeamCity, Jenkins, Gitlab CI.
  2. Среда разработки: Visual Studio, Intellij IDEA. При этом разработчику удобнее не погружаться в малопонятный интерфейс, который еще нужно запомнить, а непосредственно на рабочем месте и в своей среде разработки наблюдать все нужные интеграции и уязвимости.
  3. Code review: ручное ревью, SonarQube.
  4. Трекеры отслеживания дефектов: Jira, Bugzilla.

ohn63uz18geydk7x_xho9yxuwtk_1-20219-ffc19d.jpeg

На картинке выше как раз таки и отображены некоторые лучшие представители статического анализа.

Однако важны не инструменты, а процесс, вследствие чего есть ряд Open Source-решений, которые тоже хороши при обкатке процесса:

wceankcprd61fgevndzc_hh3crq_1-20219-eeb1dd.jpeg

Разумеется, SAST Open Source-инструменты не обнаружат много уязвимостей либо сложные DataFlow, однако при построении процесса их не только можно, но и нужно использовать. Все дело в том, что они помогут вам понять, как именно будет выстроен процесс, кто конкретно будет отвечать на баги, а кто составлять отчеты. Таким образом, на начальном этапе построения безопасности кода Open Source-решения -- вполне себе вариант.

По материалам https://habr.com/ru/company/oleg-bunin/blog/448488/.

Хотите знать больше? Добро пожаловать на курс DevSecOps!

Поделиться
0
0
17

Не пропустите новые полезные статьи!

Спасибо за подписку!

Мы отправили вам письмо для подтверждения вашего email.
С уважением, OTUS!

Автор
Андрей Павленко
Рейтинг:
+2703
2153 дня
Похожие посты
Динамический анализ кода DAST
0
0
Преимущества DevSecOps
0
0
Рекомендации по использованию DevSecOps
0
0
Трансформация DevOps в DevSecOps
0
0
Почему DevSecOps?
0
0
0 комментариев
Для комментирования необходимо авторизоваться
Популярное
Сегодня тут пусто
Посещая наш сайт, вы принимаете политику использования cookie-файлов

Подписка на новости IT, анонсы открытых уроков, спец. предложения

По всем вопросам пишите на [email protected]

Сведения об образовательной организации

OTUS является аккредитованной IT-компанией

Сведения о рекомендательных технологиях

Канал в Telegram

Группа в Telegram
Корпоративное обучение
Каталог курсов
Курсы в разработке
Программы лояльности
Каталог профессий
Наши партнеры
Стать преподавателем
О нас
СМИ о нас
Отзывы
Контакты
Блог
FAQ

© 2015-2024 OTUS

Пользовательское соглашение
Премия Рунета
2018
Премия Рунета
2018

Восстановление пароля

Введите электронную почту для восстановления пароля
Пользователь с таким email не найден

Ваш телефон уже привязан к
другой учетной записи

Ваш телефон уже привязан к учетной записи . Выберите учетную запись, с которой желаете продолжить работу. Мы привяжем к ней телефон.

Заполните номер телефона
Для отправки заявки в преподаватели заполните номер телефона