Statická analýza kódu (SAST) je základním nástrojem pro bezpečný vývoj. SAST analyzuje zdrojový kód a hledá bezpečnostní chyby ještě před nasazením. SQL injection, XSS, hardcoded secrets — vše odchytíte v CI/CD.
Semgrep — rychlý a flexibilní¶
Instalace a spuštění¶
pip install semgrep semgrep –config auto . semgrep –config p/owasp-top-ten .
Custom pravidlo¶
rules: - id: sql-injection patterns: - pattern: cursor.execute(f”… {$VAR} …”) message: “Possible SQL injection” severity: ERROR
SonarQube¶
Docker¶
docker run -d –name sonar -p 9000:9000 sonarqube:lts
Scanner¶
sonar-scanner -Dsonar.projectKey=myapp -Dsonar.sources=src
CI/CD integrace¶
GitHub Actions¶
- name: Semgrep uses: semgrep/semgrep-action@v1 with: config: p/ci
Klíčový takeaway¶
Semgrep pro rychlé skenování, SonarQube pro komplexní quality gates. Integrujte do CI/CD — blokujte merge při nálezech.
securitysastdevsecopsci/cd