🛡 Как писать недырявый код: рассказываем об инструментах для безопасной разработки Сканеров, анализаторов и плагинов, решающих AppSec-проблемы, — сотни, если не тысячи. Евгений Иляхин, архитектор процессов безопасной разработки в Positive Technologies, в статье на Хабре поделился теми, которыми пользуется сам: https://vk.cc/cKigb3 Рассказал о фишках, особенностях и преимуществах каждого из них. В его списке оказались: ✳ SonarLint — бесплатное расширение для IDE, позволяющее фиксить и устранять проблемы в момент написания кода. ✳ Плагин Semgrep для IDE делает примерно то же самое, плюс помогает соблюдать стандарты кода. ✳ Еще один плагин для IDE — PT Application Inspector (https://vk.cc/cKigYg). Благодаря встроенным модулям SCA обнаруживает не только недостатки исходного кода и конфигурационных файлов, но и уязвимые сторонние компоненты и библиотеки. ✳ Gitleaks и Git-secrets — open-source-инструменты, которые используются для поиска потенциальных секретов в исходном коде и Git-репозиториях. ✳ Trivy Secret Scanning — часть инструмента Trivy, помогающая обнаруживать токены API, ключи доступа и пароли, утечка которых может представлять угрозу безопасности проекта. ✳ PT BlackBox Scanner (https://vk.cc/cKih1m) — открытое решение для динамического анализа веб-приложений. ✳ OWASP ZAP (Zed Attack Proxy) — еще один бесплатный инструмент с открытым исходным кодом для сканирования веб-приложений. Читайте, а в комментариях (и к посту, и к статье) делитесь, какими инструментами пользуетесь для создания качественного кода, то есть кода без уязвимостей: https://vk.cc/cKigb3 #PositiveЭксперты #PositiveTechnologies