SAST analysiert Quellcode und findet Sicherheitslücken noch vor dem Deployment. SQL Injection, XSS, hartcodierte Secrets — alles wird in der CI/CD-Pipeline erkannt.

Semgrep — schnell und flexibel¶

SAST-Tools — Statische Code-Analyse¶

pip install semgrep semgrep –config auto . semgrep –config p/owasp-top-ten .

Benutzerdefinierte Regel¶

rules: - id: sql-injection patterns: - pattern: cursor.execute(f”… {$VAR} …”) message: “Possible SQL injection” severity: ERROR

SonarQube¶

Docker¶

docker run -d –name sonar -p 9000:9000 sonarqube:lts

Scanner¶

sonar-scanner -Dsonar.projectKey=myapp -Dsonar.sources=src

CI/CD-Integration¶

GitHub Actions¶

• name: Semgrep uses: semgrep/semgrep-action@v1 with: config: p/ci

Wichtigste Erkenntnis¶

Semgrep für schnelles Scanning, SonarQube für umfassende Quality Gates. In CI/CD integrieren — Merge bei Befunden blockieren.