Aqui aplicamos os conceitos de análise de código, seja voltada para qualidade e/ou segurança do código. Assim como o tratamento e resolução das vulnerabilidades e problemas que forem encontrados nesse processo de análise e revisão.
Algumas ferramentas podem nos ajudar nessa verificação, chamamos de SAST as ferramentas de análise de código estático, citando algumas delas:
Ferramentas opensource:
> Sonarcube/Sonarcloud
> CodeWarrior
> Findbugs
> ReshiftSecurity
> Codesec
> Horusec
> LGTM
> ScoutSuite
> HUSKYCI
Ferramentas pagas:
> Github Advanced Security
> Dependabot Alerts
> Veracode
> Checkmarx CxSAST
> Fortify
Ferramentas com versāo Open Source:
> Snyk Code
Nesse processo de análise, tanto na parte automatizada quanto na análise manual, alguns pontos são importantes de se considerar:
1. Falhas de injeção
2. Lançamentos de Erros e Exceções
3. Códigos Privilegiados
4. Força das Criptografias que estão sendo utilizadas
5. Cuidados com os comentários feitos no código
6. Vazamento de algum tipo de secret ou dados sensíveis
Exemplo de um pipeline com checagens de segurança
