Посты
Пару дней назад наткнулся на статью с громким названием: «DevSecOps за 20 миллионов? Я сд…
21 октября 2025 г. в 20:13•Max Knyazev is typing…Зеркало Telegram
Пару дней назад наткнулся на статью с громким названием: «DevSecOps за 20 миллионов? Я сделал свой сканер и выложил бесплатно». Автор — бывший безопасник, который решил собрать собственный сканер уязвимостей и выпустить его в открытый доступ. Звучит красиво. Бесплатный аналог дорогостоящих коммерческих решений, с поддержкой SAST, SCA и IaC. Просто загружаешь файл, жмёшь кнопку и получаешь отчёт. Минималистичный интерфейс, без регистрации, без смс, без закупок и бумажек. В теории — идеальная история для всех, кто устал от тендеров и бюрократии 🤩
Но вы же меня знаете — руки зачесались проверить самому😉
Я взял несколько своих тестовых проектов, а потом специально с помощью GPT-5 сгенерировал демо-проект с очевидными уязвимостями, чтобы уж точно было, что искать. Прогнал его через сканер из статьи (по ссылочке можете его сами заценить), а потом через Semgrep — и тут стало интересно. Semgrep нашёл 25 уязвимостей, из которых пять были критическими. А вот герой сегодняшнего поста, SecCoder, не нашёл вообще ничего. Судя по выводу, он использует Trivy и Dependency-Check, которые в моём случае просто молча прошли мимо. Возможно, баг, возможно, несовпадение форматов, но пока результат выглядит, мягко говоря, нестабильно. Особенно странно, что сканировать можно только по одному файлу, а не весь проект целиком🧐
Я запускал на сканирование и другие проекты, и SecCoder то находил что-то, то снова молчал. Не могу здесь какие-то выводы делать из разряда "почему это происходит?". Ответа я все равно не знаю😏
То, что автор пишет про сложность настройки инструментов вроде Semgrep или Trivy — полуправда. Оба ставятся в пару команд и работают без танцев с бубном. Да, коммерческие решения вроде PT AI действительно стоят космических денег (и действительно сложнее разворачиваются), но есть множество бесплатных опенсорс-альтернатив, которые вполне точны и удобны для реальной работы. Поэтому аргумент «зато бесплатно» здесь не спасает — важнее, чтобы инструмент был надёжным🧠
Тем не менее, я не хочу звучать слишком критично. Сам факт, что человек взял и сделал свой сканер, пусть даже в виде не всегда работающей беты, — уже круто (как минимум прикольно). Тут ощущается мотивация не ныть, а попробовать сделать проще и понятнее. Интерфейс получился аккуратный, лёгкий и приятный — тут автору однозначно лайк. Думаю, если добавить поддержку сканирования репозиториев, нормализовать вывод и доработать инструмент в целом, может получиться что-то более интересное. Хотя вопрос ценности остается открытым🥳
Но пока что это скорее прикольный пет-проект, чем рабочий инструмент для продакшн-безопасности. Посмотреть — да, использовать на реальных проектах — пока нет. Результаты моих тестов (сравнение с Semgrep) я прикрепил в комментариях под постом🥂
#информационная_безопасность
Открыть исходный пост в TelegramНо вы же меня знаете — руки зачесались проверить самому
Я взял несколько своих тестовых проектов, а потом специально с помощью GPT-5 сгенерировал демо-проект с очевидными уязвимостями, чтобы уж точно было, что искать. Прогнал его через сканер из статьи (по ссылочке можете его сами заценить), а потом через Semgrep — и тут стало интересно. Semgrep нашёл 25 уязвимостей, из которых пять были критическими. А вот герой сегодняшнего поста, SecCoder, не нашёл вообще ничего. Судя по выводу, он использует Trivy и Dependency-Check, которые в моём случае просто молча прошли мимо. Возможно, баг, возможно, несовпадение форматов, но пока результат выглядит, мягко говоря, нестабильно. Особенно странно, что сканировать можно только по одному файлу, а не весь проект целиком
Я запускал на сканирование и другие проекты, и SecCoder то находил что-то, то снова молчал. Не могу здесь какие-то выводы делать из разряда "почему это происходит?". Ответа я все равно не знаю
То, что автор пишет про сложность настройки инструментов вроде Semgrep или Trivy — полуправда. Оба ставятся в пару команд и работают без танцев с бубном. Да, коммерческие решения вроде PT AI действительно стоят космических денег (и действительно сложнее разворачиваются), но есть множество бесплатных опенсорс-альтернатив, которые вполне точны и удобны для реальной работы. Поэтому аргумент «зато бесплатно» здесь не спасает — важнее, чтобы инструмент был надёжным
Тем не менее, я не хочу звучать слишком критично. Сам факт, что человек взял и сделал свой сканер, пусть даже в виде не всегда работающей беты, — уже круто (как минимум прикольно). Тут ощущается мотивация не ныть, а попробовать сделать проще и понятнее. Интерфейс получился аккуратный, лёгкий и приятный — тут автору однозначно лайк. Думаю, если добавить поддержку сканирования репозиториев, нормализовать вывод и доработать инструмент в целом, может получиться что-то более интересное. Хотя вопрос ценности остается открытым
Но пока что это скорее прикольный пет-проект, чем рабочий инструмент для продакшн-безопасности. Посмотреть — да, использовать на реальных проектах — пока нет. Результаты моих тестов (сравнение с Semgrep) я прикрепил в комментариях под постом
#информационная_безопасность
Обсуждение
Комментарии
Комментарии доступны только подтверждённым email-подписчикам
Подключиться к обсуждению
Введите ту же почту, которую вы уже использовали для подписки на сайт
Пока нет ни одного комментария