Sikkerhet

Statisk kodeanalyse (SAST)

Leser kildekoden uten å kjøre den, og leter etter mønstre som fører til sårbarheter — usikker håndtering av input, hardkodede hemmeligheter, farlige funksjonskall.

Krever kildekode: Ja

Krever tilgang til kildekoden. For et leverandørlåst system må leverandøren kjøre den.

Hva den avdekker

Injeksjonssvakheter, usikker bruk av kryptografi, hemmeligheter sjekket inn i koden, og risikable mønstre — der de står i koden, så de er raske å rette. Fanger ting før systemet i det hele tatt kjører.

Slik kjører du den

Semgrep er gratis og raskt å komme i gang med; CodeQL er gratis for åpne prosjekter på GitHub. Kjør ved hver pull request, så nye svakheter stoppes før de når produksjon. Krever tilgang til kildekoden — så for et leverandørlåst system må leverandøren kjøre det.

Slik tolker du resultatet

Gir flere treff enn DAST, men også flere falske positiver — kalibrer reglene mot ditt prosjekt så laget ikke drukner i støy og slutter å lese resultatene. Fallgruve: en regel som «alltid finner noe» blir ignorert.

AI-perspektiv

Her møtes to ting: AI skriver mer av koden, og AI-generert kode har sine egne typiske svakheter (den gjentar mønstre den så i treningsdata, gode som dårlige). Statisk analyse på AI-skrevet kode er ikke overflødig — det er en nødvendig kontroll av at det raske også ble trygt.

Har dere et eksisterende system dere lurer på tilstanden til? Mange av disse analysene kan kjøres utenfra, uten å røre koden. DOPS gjennomgår ytelse, sikkerhet og teknisk gjeld i systemer dere allerede eier — og sier ærlig fra om hva som haster og hva som kan vente.

Snakk med DOPS

← Alle kodeanalyser  ·  Kravbibliotek