Hoy publiqué un PoC bastante bueno en el que pude proporcionar "comentarios de vulnerabilidad de seguridad" en tiempo real a un desarrollador mientras escribe el código en VisualStudio.
Puede ver el video en Comentarios sobre la creación de vulnerabilidades en tiempo real dentro de VisualStudio ( con verdes y rojos) donde cada vez que el usuario realiza un cambio en el código, se produce una compilación automática (con el compilador C # de Roslyn) y una exploración SAST (con Cat.NET)
Aunque este PoC es bastante agresivo (hago una compilación y escaneo en cada tecla que es un poco OTT), aquí hay otro video que muestra una compilación más grande + escaneo al guardar: Compilación de soluciones y análisis de seguridad en tiempo real de C # (con Roslyn y Cat.NET)
La clave de este PoC es que representa el bucle en tiempo real (casi un REPL) que necesitamos (algunos tipos) de problemas de seguridad.
A continuación, debemos pensar en la mejor manera de presentar esta información a los desarrolladores. Por ejemplo, pensé que podríamos querer que se muestren varios colores según el tipo de problema, qué tan grave podría ser, su capacidad de explotación, etc. ...
Otra buena idea es cambiar el color del cursor o su forma (piense más grande o más pequeño), dependiendo del número de problemas actualmente pendientes :)