| Title: | Программный комплекс статического анализа уязвимостей исходного кода на JavaScript и TypeScript |
| Other Titles: | Software complex for static vulnerability analysis of JavaScript and TypeScript source code |
| Authors: | Батуро, А. И. |
| Keywords: | материалы конференций;статический анализ;JavaScript;TypeScript;абстрактное синтаксическое дерево;анализ загрязнения данных;CWE;SARIF;Semgrep;REST API;оценка качества;безопасность приложений |
| Issue Date: | 2026 |
| Publisher: | БГУИР |
| Citation: | Батуро, А. И. Программный комплекс статического анализа уязвимостей исходного кода на JavaScript и TypeScript = Software complex for static vulnerability analysis of JavaScript and TypeScript source code / А. И. Батуро // Информационная безопасность : сборник материалов 62-й научной конференции аспирантов, магистрантов и студентов БГУИР, Минск, 13–17 апреля 2026 г. / Белорусский государственный университет информатики и радиоэлектроники ; редкол.: С. В. Дробот (гл. ред.) [и др.]. – Минск, 2026. – С. 8–12. |
| Abstract: | Рассмотрена разработка сервиса статического анализа безопасности для JavaScript и TypeScript на основе парсера tree-sitter, правил по абстрактному синтаксическому дереву и внутрифайлового анализа загрязнения данных с ограниченной межпроцедурностью и пакетной передачей файлов через REST API. Результаты сопоставляются с таксономией CWE; поддерживаются форматы JSON, SARIF 2.1.0 и асинхронный режим выполнения. Описаны архитектура комплекса, состав правил, особенности анализа потоков данных и программный интерфейс. Приведены количественные результаты сопоставления с инструментом Semgrep на внутреннем каталоге синтетических примеров и на внешнем корпусе semgrep-rules/javascript, пояснена методика трёх контуров оценки, сформулированы ограничения и направления развития. |
| Alternative abstract: | A static security analysis service for JavaScript and TypeScript is presented, based on the tree-sitter parser, abstract syntax tree rules, and intra-file taint analysis with limited interprocedural scope. Files are transferred in batches via REST API. Findings are mapped to the CWE taxonomy; JSON, SARIF 2.1.0 formats, and asynchronous execution are supported. The system architecture, rule set, data flow analysis features, and API are described. Quantitative comparison with Semgrep is provided on an internal synthetic catalog and the external semgrep-rules/javascript corpus. |
| URI: | https://libeldoc.bsuir.by/handle/123456789/63702 |
| Appears in Collections: | Информационная безопасность : материалы 62-й научной конференции аспирантов, магистрантов и студентов (2026)
|
