Почему SAST на правилах не видит 50% уязвимостей: опыт аудита собственной кодовой базы

[Andrey2008]

О, а мы как раз на днях вебинар на эту тему делали - Механизмы в SAST-решениях для выявления дефектов из OWASP Top Ten.

[Wowhere]

Хорошая статья но не хватает главного, неясно какой именно инструмент использовался. Это был Joern или нечто самописное использующее CPG либу типа https://github.com/Fraunhofer-AISEC/cpg ?

[msvn]

Изначально это был joern, а потом я решил его переписать - через пару статей расскажу подробности. Либу не использовал, в основе только tree-sitter - все остальное - чистый golang практически без внешних зависимостей (за исключением API-шки DuckDB)