Leser kildekoden uten å kjøre den, og leter etter mønstre som fører til sårbarheter — usikker håndtering av input, hardkodede hemmeligheter, farlige funksjonskall.
Krever tilgang til kildekoden. For et leverandørlåst system må leverandøren kjøre den.
Hva den avdekker
Injeksjonssvakheter, usikker bruk av kryptografi, hemmeligheter sjekket inn i koden, og risikable mønstre — der de står i koden, så de er raske å rette. Fanger ting før systemet i det hele tatt kjører.
Slik kjører du den
Semgrep er gratis og raskt å komme i gang med; CodeQL er gratis for åpne prosjekter på GitHub. Kjør ved hver pull request, så nye svakheter stoppes før de når produksjon. Krever tilgang til kildekoden — så for et leverandørlåst system må leverandøren kjøre det.
Slik tolker du resultatet
Gir flere treff enn DAST, men også flere falske positiver — kalibrer reglene mot ditt prosjekt så laget ikke drukner i støy og slutter å lese resultatene. Fallgruve: en regel som «alltid finner noe» blir ignorert.
AI-perspektiv
Her møtes to ting: AI skriver mer av koden, og AI-generert kode har sine egne typiske svakheter (den gjentar mønstre den så i treningsdata, gode som dårlige). Statisk analyse på AI-skrevet kode er ikke overflødig — det er en nødvendig kontroll av at det raske også ble trygt.
Har dere et eksisterende system dere lurer på tilstanden til? Mange av disse analysene kan kjøres utenfra, uten å røre koden. DOPS gjennomgår ytelse, sikkerhet og teknisk gjeld i systemer dere allerede eier — og sier ærlig fra om hva som haster og hva som kan vente.
Snakk med DOPS