Pull Request Security Testing (PRST) - новая практика DevSecOps Захотелось выделить в отдельную практику анализа кода и что мне сделаете? Анализ PR, семгреп, гитликс, чехов? Ну да, а как запускать их, на каждый pr прям всеми 10к+ правилами или перед этим определить через tokei стек и точечно ударить проверками. Это все круто, но куда мы без "AI" конечно же, не последние крипы. Поэтому мы поговорим о такой тулзе как CodeRabbit. Представляет из себя PR AI Agent Reviewer — cli + vcs plugin, который делает очень интересные вещи, прокидывая автоматизированный security code review прямо в пулл-реквест разрабу (см. рисунки) битбакета, гитхаба и др.: 💚предлагает улучшения по коду; 💚дает разъяснения по данному пээру (summarize), что вообще произошло и на что повлияло, какие файлы затронуло; 💚показывает визуализацию потока данных; 💚проверяет на безопасность с помощью внешних инструментов и даёт по результатам их работы свой ответ. В конечном итоге CodeRabbit опубликует свой обзор кода в виде комментариев к запросу на извлечение. Что интересно, это как он включает те или иные инструменты, например если PR содержит достаточно большие изменения, то запустит по-умолчанию. А для небольшие изменения будут проигнорированы, и ни один инструмент не будет запущен на этих инструментах если не было передано конфигуарного файла. Короче, на это надо посмотреть самим. Задумайтесь, когда у нас появится нечто подобное? По факту ниша в РФ абсолютно пуста. Было бы желание. Не замена састу определено, а ускорение T2M, свдига влево, снятие нагрузки апсека. Единственное, на что обратить внимание — безопасность таких решений сейчас и в будущем. Мега интересный ресерч безопасности облака CodeRabbit от kudelskisecurity RCE через внешний линтер Rubocop тут и тут. В гонке за выход на рынок продуктов на базе ИИ, безопасность и тут опять на последнем месте, а не бай дизайн, которая должна быть главным приоритетом как = надежность. место для рекламы курсов mlsecops