CWE Top 25 2021. Что такое, с чем едят и чем полезен при статическом анализе?

[vesper-bot]

А разве проблема статического анализатора — разбираться с механизмами аутентификации? Он же вроде как предназначен работать только с одним элементом ПАКа — исходными кодами конкретного исполняемого файла, даже если часть кода является библиотеками, используемыми где-либо ещё. Т.е. единственный элемент из топ-25, которого вам всерьез не хватает, это command injection, и то не удивлюсь, если часть более общих диагностик покрывает основные способы что-то внедрить в командную строку, передаваемую в какой-нибудь CreateProcess.

[Mixxxxa]

Если статический анализатор может выявить проблемы с аутентификацией, то почему бы ему этого не сделать? Современные средства статического анализа кода уже давно перестали просто досматривать ошибки за компилятором, а перешли к решению более специфичных проблем.