SAST analyzuje zdrojový kód a hledá bezpečnostní chyby ještě před nasazením. SQL injection, XSS, hardcoded secrets — vše odchytíte v CI/CD.

Semgrep — rychlý a flexibilní¶

Instalace a spuštění¶

pip install semgrep semgrep –config auto . semgrep –config p/owasp-top-ten .

Custom pravidlo¶

rules: - id: sql-injection patterns: - pattern: cursor.execute(f”… {$VAR} …”) message: “Possible SQL injection” severity: ERROR

SonarQube¶

Docker¶

docker run -d –name sonar -p 9000:9000 sonarqube:lts

Scanner¶

sonar-scanner -Dsonar.projectKey=myapp -Dsonar.sources=src

CI/CD integrace¶

GitHub Actions¶

• name: Semgrep uses: semgrep/semgrep-action@v1 with: config: p/ci

Key Takeaway¶

Semgrep pro rychlé skenování, SonarQube pro komplexní quality gates. Integrujte do CI/CD — blokujte merge při nálezech.