Comments 1
Например, чтобы позволить разработчикам выполнять сканирование в IDE, нужно использовать инструмент, который поддерживает распространенное программное обеспечение IDE. Например, анализатор SonarJava интегрируется в сборочную систему Gradle, Maven и запускается в различных IDE через плагин SonarLint.
Есть очень важный момент, который надо учитывать: правильное внедрение инструментов требует понимания того, как они работают, и того, что именно они делают. Например, SonarLint неплох, но он не включает в себя весь SonarJava, а только часть проверок. При этом, имхо, самые интересные проверки как раз не включены. Довольно легко можно создать иллюзию безопасной разработки, когда анализируется каждый коммит, гудят серверы с разными сканерами и фаззерами, но при этом мимо них пролетают реальные уязвимости просто потому, что в данном конвейере нет технологий и правил для значимой части проблем.
Переход к безопасной разработке. Зачем это нужно? Какие преимущества даст DevSecOps?