Pagina 1 di 1
Il Static Application Security Testing analizza il codice sorgente senza eseguirlo. Per PHP la combinazione vincente è PHPStan a livello 9 (anche per la sicurezza), Psalm per la taint analysis, Semgrep per regole custom su pattern specifici del dominio. Tre layer che insieme catturano una larga maggioranza dei problemi.
In questa categoria scrivo di SAST applicato in PHP: setup della pipeline GitHub Actions con PHPStan + Psalm + Semgrep, security gate prima del merge (non solo warning), riduzione dei falsi positivi sui pattern specifici di Laravel ed Eloquent, baseline per non bloccare il team durante l'introduzione.
Se vuoi un livello SAST serio nella tua pipeline PHP, parliamone. Oppure scopri come lavoro.
Security testing manuale è costoso e non scala. Ho costruito un layer di security testing automatico nella pipeline GitHub Actions di un cliente: PHPStan per l'analisi statica, OWASP ZAP in modalità baseline per il DAST, Trivy per i container. Zero colli di bottiglia, il tempo di CI è aumentato solo di 4 minuti. Continua a leggere
