Optimisation de l'analyse statique de GitHub Actions avec les transducteurs d'état fini
2025-08-18
Le développeur de l'outil d'analyse statique zizmor a optimisé sa détection des vulnérabilités d'injection de modèles de GitHub Actions en utilisant des transducteurs d'état fini (FST). En mappant les motifs de contexte de GitHub Actions à leur « capacité » logique, les FST ont réduit la taille de la représentation d'un ordre de grandeur (de ~240 Ko à ~14,5 Ko) et se sont avérés plus rapides et plus efficaces en termes de mémoire que les approches précédentes basées sur des tables et des parcours d'arbres de préfixes. De plus, le FST est précalculé au moment de la compilation, éliminant les coûts de démarrage. Cette amélioration réduit considérablement les faux positifs et augmente l'efficacité de la détection.
Développement
transducteur d'état fini