Mar 3 · 8 min read · Static Analysis Beyond Linting: CodeQL, Semgrep, SonarQube, and Snyk Code Linters enforce style. Static analysis finds bugs. The difference matters. ESLint will tell you about unused variables and inconsistent formatting. CodeQL will tell you that us...
Join discussionSep 16, 2025 · 3 min read · Trong bài viết trước mình đã nếu ra 2 phương pháp parse database mà CodeQL hỗ trợ. Đó là no build và có command build, Với no build thì tất nhiên là rất dễ dàng nhưng ảnh hưởng tới độ chính xác của các liên kết trong source code codeql database cre...
Join discussionSep 13, 2025 · 2 min read · Hi mọi người, có thể nhiều bạn đã biết thì CodeQL là công cụ rất hữu ích trong việc phân tích, tìm kiếm lỗ hổng bảo mật và biến thể của mã nguồn. Trong bài viết này mình sẽ demo lại quá trình cài đặt CodeQL trên vscode và sử dụng scan thử Đầu tiê...
Join discussionJun 21, 2025 · 18 min read · Introduction This is the first article in a 30-day series on Static Application Security Testing (SAST). We’ll introduce what SAST is and why it matters for building secure software. SAST refers to analyzing source code to find security vulnerabiliti...
Join discussion
Dec 18, 2023 · 6 min read · Expression languages are at the root of several high-profile CVEs and are one of the most dangerous components you can integrate into an application. See this post by the incomparable Alvaro Muñoz if you want a taste of how deep the pain can go. Sort...
Join discussion