Боюсь vibe coding, поэтому встроил автоматический security-скан (Semgrep + gitleaks) во все свои проекты
jacey_dong 29 минут назад Боюсь vibe coding, поэтому встроил автоматический security-скан (Semgrep + gitleaks) во все свои проекты 5 мин 620 DevOps * Ретроспектива Из песочницы Я работаю в IT-консалтинге первый год и...
Anthropic — What company has the best second artificial intelligence model at the end of June?
Вот важная новость с фронта ИИ: jacey_dong 29 минут назад Боюсь vibe coding, поэтому встроил автоматический security-скан (Semgrep + gitleaks) во все свои проекты 5 мин 620 DevOps * Ретроспектива Из песочницы Я работаю в IT-консалтинге первый год и параллельно веду несколько пет-проектов вместе с Claude Code. И в какой-то момент меня начало беспокоить одно и то же:«А код, который мне написал AI, вообще безопасный? »Несколько личных проектов я собрал в связке с Claude Code, и раз уж большую часть code review я отдаю модели, то вполне реально, что куда-нибудь просочится:опасный паттерн (shell=True, конкатенация строк, из которой получается SQL-инъекция, и тому подобное);содержимое .
env или API-ключ, зашитый прямо в код. И я этого просто не замечу. Vibe coding — это быстро, но самое страшное здесь в том, что опасный код проходит дальше по одной-единственной причине: «ну он же работает».
Технические детали
И тут мне попалась мысль: если поставить Semgrep и gitleaks в два эшелона, то можно ловить и опасные паттерны в коде, и утечки секретов одновременно. Я решил встроить эту связку во все проекты, которых касаюсь, — и в старые, и в новые. Эта статья — журнал той работы.
Semgrep и gitleaks: кто за что отвечаетИнструментРольЧто ловитSemgrepСтатический анализ кода (SAST)subprocess. call(cmd, shell=True), опасную конкатенацию строк под SQL-инъекцию и т. gitleaksСкан секретовЗахардкоженные AWS-ключи, Slack-токены, Stripe secret key и прочееСначала я думал, что хватит одного Semgrep.
Но Semgrep — это всё-таки SAST по коду, и захардкоженный . env или высокоэнтропийные строки-секреты — не его профиль. А gitleaks, наоборот, заточен под секреты, но до опасных паттернов реализации ему дела нет.
Отраслевые последствия
Зоны ответственности разные, поэтому два эшелона — это осмысленно, а не дублирование ради дублирования. Схема: локально (pre-commit) + CI (GitHub Actions), два слоя защитыПри внедрении я завёл две точки проверки. Локально (pre-commit hook) — скан на каждом git commit.
Цель — чтобы опасный код и секреты вообще не попадали в репозиторий. CI (GitHub Actions) — ещё один скан на каждый push и PR. Ловит то, что проскользнуло мимо pre-commit или было пропущено через --no-verify.
«Остановить локально» + «если проскочило — поймать в CI». Такая двойная схема становится страховкой в том числе от собственной невнимательности и излишней самоуверенности. yaml repos: - repo: rev: v8.
Событие, по словам экспертов, усилит конкуренцию в сфере ИИ.
