All streams
Search
Write a publication
Pull to refresh

Comments 24

Проверьте, должно работать. Или чуть позже, когда хабра-эффект спадет немного

Rating is hidden

Поломали?

Rating is hidden

Пробуйте на малых файлах - попробую по-возможности добавить ресурсов)

Rating is hidden

Не понятен смысл проекта при условии что можно загрузить только 1 файл. Как "быстрый способ проверить код" вообще не канает. Может чекнуть dockerfile и хватит, но даже более менее реальный проект - нет. А проверять по файлу, ну... это дурка. Тот же trivy/bandit можно натравить на весь проект и получить полноценный отчет локально, ничего никуда не отправляя по всему проекту. Установка в 1 команду. Всё же есть огромная разница корпоративных решений за 6-10 миллионов, и пары опенсорсных утилит в 1 кнопке

Возможно, кстати, будь это в виде опенсорсной cli утилиты-комбайна, а не saas - было бы куда удобнее. И вам серверные ресурсы тратить не нужно, и людям спокойнее что ничего никуда не уйдёт. Там глядишь и сообщество подтянется, что-то своё добавит. А пока кажется совершенно не юзабельным в реальной работе

Rating is hidden

Для MVP - норм. Dockerfile, конфиг Kubernetes, небольшой скрипт - это 80% кейсов для быстрой проверки. Да, для полноценного проекта нужно больше - я это знаю и планирую добавить загрузку архивов. По Trivy/Bandit: Да, если ты умеешь их настраивать. А теперь представь: 1) Менеджер, который не знает, что такое CLI 2)Тимлид, которому нужно показать отчёт прямо сейчас 3) Разработчик на Windows, который не хочет возиться с Python/Docker. Для них это не "1 команда", а головная боль. Мой сервис решает эту проблему.

Rating is hidden

решает, поднимая вопрос доверия: а точно ли нам стоит внутренний код доверять стороннему честно-честно деликатному сайту?

Rating is hidden

Это инструмент для быстрых проверок, демо, обучения, небольших проектов, небольших команд. Если нужна 100% конфиденциальность - используйте локальные инструменты.

Rating is hidden

Для кода с секретами - нет, нельзя. Для всего остального - почему бы и нет, если это экономит время

Rating is hidden

cli утилиты-комбайна

Возможно добавить это всё как хук pre-commit

Rating is hidden

Это инструмент не для полноценного аудита всего проекта, а для быстрой санитарной проверки

Rating is hidden

Интересно было бы почитать про архитектуру проекта.

Rating is hidden

Я думаю в следующих статьях обязательно расскажу о структуру проекта, а так же добавлю новый функционал.

Rating is hidden

Ну я проектирую похожее решение, но локальное! Оно не просто по файлу, а весь проект сканит и еще LLM тебе объяснит где что и почему не так. 😁 Все работает на относительно слабых ПК.

А так да, прикольно. НО! У вас сайт помрет, уже помер, от нагрузок.. 😁

Rating is hidden

Да, хаброэффект дал о себе знать) Сейчас проект на небольших ресурсах, но если зайдёт - добавлю мощностей. Буду масштабироваться по мере роста. Спасибо, что тестируете, несмотря на лаги!
ИИ-триаж найденных уязвимостей сейчас в разработке, хочется максимально отточить эффективность эту фичи, а потом ее релизить.

Rating is hidden

Можно поинтересоваться, как SCA работает без SBOM?

Rating is hidden

Можете загружать готовый SBOM и сканер проверит все компоненты на уязвимости.

Rating is hidden

Будет ли исходный код? Если базы сами обновляются, многим легче было бы к себе поставить.

А так классный сайт, сам я особо не задумывался об уязвимостях

Rating is hidden

Спасибо за вопрос и за фидбек! Сейчас это закрытый SaaS - я сам администрирую, обновляю базы уязвимостей и поддерживаю инфраструктуру. Все опенсорсные сканеры (Trivy, Bandit, Semgrep и т.д.) уже доступны в интернете, но моя задача - собрать их в одно удобное решение с автообновлением баз.

Rating is hidden

NeuVector oss уже 2 года

Rating is hidden

Именно такие простые и полезные инструменты часто выстреливают, автор молодец, что не побоялся и сделал

Rating is hidden

Спасибо за поддержку!

Rating is hidden
Sign up to leave a comment.

Articles

Your account

Sections

Information

Services

Support
© 2006–2025, Habr