Почему SAST на правилах не видит 50% уязвимостей: опыт аудита собственной кодовой базы

Операция выполнена!

info@vsetut.pro

Стать автором

Вернуться

Почему SAST на правилах не видит 50% уязвимостей: опыт аудита собственной кодовой базы

18.03.2026 17:46:10 | Хабр

Хабы: Информационная безопасность, Качество кода, Программирование

Я думал, у меня всё чисто. Bandit стоял, правила регулярно обновлялись, pipeline на каждый PR ругался на опасные места. Ну, знаете, как это бывает: где-то что-то подсветит, мы правим, живём дальше, чувствуем себя молодцами, прикрыв тыл статическим анализом.

А потом я решил копнуть глубже. Не для галочки, а руками, с инструментом, который умеет ходить по коду не линейно, а как по графу.

Знаете, сколько нашлось?

Читать далее

Подробнее

Читайте также

Судья отклонил показания свидетеля: его заподозрили в подсказках через умные очки
18.03.2026 17:45:27 | ferra.ru

144 Гц, FullHD, 24,5 дюйма всего за $100: AOC выпустила монитор 25B35XE
18.03.2026 17:36:21 | ferra.ru

[Перевод] 2 трлн долга, $2 трлн выручки и 300 млн рабочих мест: почему ИИ ведёт нас к катастрофе
18.03.2026 17:13:32 | Хабр

В Курске запустили оплату проезда в автобусах через приложение «Яндекс Go»
18.03.2026 17:04:17 | ferra.ru

«М.Видео» начал продавать одежду и аксессуары на своём маркетплейсе
18.03.2026 16:54:22 | vc.ru

В России впервые провели операцию на аорте с дополненной реальностью
18.03.2026 16:52:44 | ferra.ru

Работодатели закрывают кошельки и повышают планку для ИТ-специалистов
18.03.2026 16:49:51 | it-world

Чистая прибыль китайской Geely в 2025 году достигла рекордных $2,4 млрд
18.03.2026 16:06:10 | vc.ru

Катодная защита объектов от коррозии
18.03.2026 16:05:35 | Хабр

Российские ученые создали способ получения легкого графита
18.03.2026 16:01:34 | ferra.ru

«Вдохновляться каждый день»: в Сан-Франциско на фоне «ИИ‑бума» стартапы арендуют особняки под штаб‑квартиры для работы и жизни
18.03.2026 15:57:58 | vc.ru

Как A2A‑протокол обеспечивает оркестрацию ИИ‑агентов
18.03.2026 15:57:32 | Хабр

Тонкая настройка Wi-Fi в OpenWrt — секция wifi-iface — от простой точки до Mesh-сети (2 часть)
18.03.2026 15:41:33 | Хабр

Стандарт Simplified Technical English и перевод технической документации
18.03.2026 15:30:16 | Хабр

Бесплатный видео курс «Язык R для разработки AI инструментов»
18.03.2026 15:18:29 | Хабр

Умный дом без ручного управления — Trouver везёт в Россию ИИ-экосистему MOVA
18.03.2026 15:16:06 | ferra.ru

Сравнение SEO‑инструментов для анализа ссылочного профиля: большое исследование
18.03.2026 15:15:02 | Хабр

Заповеди нейрохейтера
18.03.2026 15:14:01 | Хабр

«Т-Технологии» покупают «Авто.ру» у «Яндекса» за 35 миллиардов рублей
18.03.2026 15:09:41 | it-world

Генеральный директор Apple посетил Китай
18.03.2026 14:45:33 | it-world

Заметки о разработке CRM-системы
18.03.2026 14:32:42 | Хабр

«Яндекс» продаст «Авто.ру» за 35 млрд рублей «дочке» «Т-Технологий»
18.03.2026 14:31:44 | vc.ru

Как продвигать вебинар, чтобы он приносил регистрации и продажи: пошаговая стратегия
18.03.2026 14:20:24 | Хабр

[Перевод] 7 уроков от Андерса Хейлсберга: архитектора C# и TypeScript
18.03.2026 14:16:37 | Хабр

10 вопросов перед внедрением AI-агентов
18.03.2026 14:14:21 | Хабр

Open source? Enterprise? True story про путешествие туда и обратно
18.03.2026 14:08:44 | Хабр

Flex vs Grid: объяснение разницы на практике
18.03.2026 14:05:23 | Хабр

Топ-10 бесплатных нейросетей для повседневных задач
18.03.2026 14:04:58 | Хабр

Сооснователя ИТ-интегратора IBS Сергея Мацоцкого снова заочно арестовали по делу о даче взятки
18.03.2026 14:00:01 | vc.ru

По сравнению с этими смарт-часами хвалёные Apple Watch Ultra — просто смех
18.03.2026 13:55:07 | ferra.ru

Как выстроить работу с ИИ: от машинного обучения и NLP до RAG, MLOps и ИИ-архитектуры
18.03.2026 13:43:15 | Хабр

Новые наушники Anker Soundcore получат кейс с сенсорным экраном и ИИ-чип
18.03.2026 13:36:34 | ferra.ru

[Перевод] Каждый слой ревью замедляет работу в 10 раз
18.03.2026 13:36:24 | Хабр

Замена Телеграм: эвакуируем команду из сервиса за 24 часа
18.03.2026 13:34:42 | Хабр

Замена Телеграм: эвакуируем рабочие чаты из сервиса за 24 часа
18.03.2026 13:34:42 | Хабр

Смотреть все

НОВОСТИ

Названы десять поломок, которые водители готовы починить сами
28.03.2026 14:30:00 | За рулем

В Костромской области в ДТП пострадали два подростка
18.03.2026 22:08:39 | ТАСС

Участие в защите Ормузского пролива сравнили с покупкой билета на «Титаник»
18.03.2026 22:07:08 | Lenta.ru

ЦАХАЛ заявил о ликвидации в Бейруте координатора КСИР в "Хезболлах"
18.03.2026 22:06:00 | ТАСС

Гаглоев поздравил Аксенова с Днем воссоединения Крыма с Россией
18.03.2026 22:04:33 | ТАСС

В Запорожской области планируют запустить медицинские классы
18.03.2026 22:02:06 | ТАСС

Вне конкуренции: Патрушев напомнил, что российские ледоколы не боятся Арктики, в отличие от западных
18.03.2026 22:01:35 | Life.ru

ТАСС: над Черным морем заметили британский самолет радиоэлектронной разведки
18.03.2026 22:01:28 | ТАСС

Президент Ирана выступил с резким предостережением в адрес США и Израиля
18.03.2026 22:00:11 | Life.ru

Число зарегистрированных участников СЭЗ Запорожской области составило 77
18.03.2026 22:00:10 | ТАСС

В России объяснили важность освобождения одного населенного пункта в ДНР
18.03.2026 22:00:00 | Lenta.ru

Упор на камеры, 7000 мАч и топовая платформа. Инсайдер описал смартфон, который, предположительно, будет называться Huawei Nova 16 Ultra
18.03.2026 21:59:00 | iXBT.com

В Запорожской области заключили шесть инвестсоглашений на 47 млрд рублей
18.03.2026 21:58:39 | ТАСС

Samsung Galaxy S26 Ultra получил 25-ваттную беспроводную зарядку, но, как оказалось, её поддерживают не все магнитные чехлы
18.03.2026 21:58:00 | iXBT.com

Минцифры: ИИ должен применяться исключительно с соблюдением прав граждан
18.03.2026 21:57:57 | ТАСС

Калмыкия готова стать пилотным регионом по внедрению "промышленной ипотеки"
18.03.2026 21:54:44 | ТАСС

Глава ФРС: рост стоимости энергоносителей ускорит инфляцию в США
18.03.2026 21:54:38 | ТАСС

Шансы Долиной вернуть деньги за квартиру оценили
18.03.2026 21:54:08 | Lenta.ru

Нацразведка США признала превосходство России в ходе украинского конфликта
18.03.2026 21:53:00 | Российская Газета

Персональный облачный NAS ZimaCube 2 позволяет установить шесть HDD и четыре SSD в корпусе объёмом чуть более 10 литров
18.03.2026 21:53:00 | iXBT.com

Молдавия ввела санкции против журналистов и артистов из России
18.03.2026 21:52:50 | Lenta.ru

В США рассказали об усилиях по урегулированию конфликта на Украине
18.03.2026 21:52:29 | Lenta.ru

Минцифры представило проект закона о госрегулировании ИИ
18.03.2026 21:51:50 | Ведомости

Bloomberg: Индия отправила флот для защиты танкеров у Ормузского пролива
18.03.2026 21:50:23 | Life.ru

Qatar Energy сообщила об ущербе своему газовому предприятию после ракетных ударов
18.03.2026 21:50:15 | ТАСС

Qatar Energy сообщила об ущербе газовому предприятию после ракетных ударов
18.03.2026 21:50:15 | ТАСС

Россияне и белорусы будут летать по новым правилам
18.03.2026 21:50:00 | Российская Газета

В штабе Центрального командования США объявили тревогу
18.03.2026 21:49:53 | Lenta.ru

В Польше запретят телефоны на уроках в начальной школе
18.03.2026 21:49:44 | РБК

Международное сотрудничество по ИИ предлагается реализовать через совместные исследования
18.03.2026 21:49:25 | ТАСС

Суд существенно ужесточил наказание за взятку экс-гендиректору ПАО «Кубаньэнерго»
18.03.2026 21:49:12 | Коммерсантъ

Семак назвал заслуженной победу "Зенита" над "Динамо" из Махачкалы
18.03.2026 21:48:20 | ТАСС

Разработку и обучение моделей ИИ будут осуществляться на территории России
18.03.2026 21:48:03 | ТАСС

Разработку и обучение моделей ИИ будут осуществлять исключительно в России
18.03.2026 21:48:03 | ТАСС

В Краснодаре 11 квартир получили повреждения от обломков БПЛА
18.03.2026 21:47:43 | ТАСС

Все новости

ВСЕ НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro

Copyright © 2026 - vsetut.pro