DryRun Security for AI Coding

Ich habe mich zu oft daran geärgert, Code zusammenzuführen, der gut aussah, bis ein Pentester auf etwas Dummes wie SQL-Injection oder fest codierte Geheimnisse hingewiesen hat. Deshalb habe ich DryRun Security für AI Coding ausprobiert. Es lässt sich als App in GitHub einbinden, und mal ehrlich? Es prüft einfach stillschweigend jede Pull-Anfrage, ohne mich zu verlangsamen. Keine zusätzlichen Schritte, keine seltsame Einrichtung – installieren Sie es, richten Sie es auf Ihr Repo und schon werden riskante Muster angezeigt.

Die guten Sachen

Was Klick machte, war die Art und Weise, wie das Risiko tatsächlich *erklärt* wurde, anstatt nur „hoher Schweregrad“ zu sagen. Einmal habe ich beispielsweise eine Benutzereingabe direkt an einen Shell-Befehl übergeben – nicht ideal. DryRun schrie nicht nur „Gefahr“, sondern sagte auch: „Dadurch könnte jemand beliebige Befehle auf Ihrem Server ausführen“ und zeigte sogar eine minimale Fehlerbehebung an. Diese Art von Klarheit ist selten. Es beherrscht auch mehrere Sprachen – ich verwende Python und Express, und es hat in beiden Sprachen Probleme verursacht. Die Fehlalarme sind viel geringer als bei anderen Tools. Kein Durchforsten von 40 Warnungen über ungenutzte Variablen mehr, wenn das eigentliche Problem ein fehlendes CSRF-Token ist.

Das nicht so Gute

Es ist nicht perfekt. Die Benutzeroberfläche ist einfach gehalten – nur ein GitHub-Kommentar mit einer Liste von Problemen. Kein Dashboard, keine Verlaufsverfolgung, nichts zu sehen in allen Repos. Wenn Sie SonarQube oder Snyk gewohnt sind, fühlt sich dies wie eine abgespeckte Version an. Da es webbasiert ist und über keine Desktop-App verfügt, können Sie es außerdem nicht lokal ausführen. Und ja, es ist kein Open Source, daher weiß ich nicht, wie sie die KI trainieren. Das ist ein wenig beunruhigend, aber ich habe es lange genug verwendet, um der Ausgabe zu vertrauen. Nicht ideal für Teams, die detaillierte Audit-Trails oder Compliance-Berichte wünschen.

Fazit

Wenn Sie ein einzelner Entwickler oder ein kleines Team sind, das schnell arbeitet und einfach nur gängige Sicherheitsfallen vermeiden möchte, ohne ein völlig neues System zu erlernen, ist DryRun Security für AI Coding für Web-Apps eine solide Lösung. Es ist kostenlos auszuprobieren, funktioniert sofort und hält Ihre PRs sauberer. Überspringen Sie es, wenn Sie erweiterte Berichte oder lokales Scannen benötigen. Aber dafür, dumme Fehler zu erkennen, bevor sie auf den Punkt kommen? Ja, die fünf Minuten zum Einrichten sind es wert.