Dans le cadre de mon projet NodeSecure, un de mes objectifs était de réussir à détecter des codes “malicieux” divers et variés qui ont été répertoriés à travers diverses attaques.
Quand nous parlons d’analyse statique, il s’agit donc d’analyser un code source sans jamais l’exécuter (sinon c’est plutôt une analyse dynamique). Pour cela nous allons transformer le code en format AST ce qui va rendre l’analyse du code bien plus simple.
J’ai récemment fait un talk en français sur la manipulation d’AST en JavaScript que je vous recommande de visionner. C’est avec ces techniques que j’ai réussi à créer mon projet JS-X-Ray (qui est un outil SAST -> Static Application Security Testing).
Autres talks en lien avec les Abstract Syntax Trees :
- EN Machine Powered Refactoring: Leverage AST's to Push Your Legacy Code (& the Web) Forward
- EN What the AST ?
- EN What is an Abstract Syntax Tree? (Nearform)
- FR Sunrise #7 - AST avec Antoine COULON
Articles écrivent par les membres core de l'équipe NodeSecure:
⬅️ 🔐 Sécurité: Faille de sécurité courante | ➡️ 🔐 Sécurité: Liens et ressources complémentaires à lire