我正在考虑何时是进行 SAST 审查的最佳时机,但我不确定。对我来说,最好的时机是在将我的分支合并到 master 之前(在拉取请求上),因为,您可以在将代码投入生产之前修复它。但是,想象一下,有两个或多个没有任何漏洞的分支(您在合并这些分支之前运行 SAST 审查),如果您将这些没有漏洞的分支合并到 master 中,是否可能在代码上出现新的漏洞?我的意思是没有漏洞的不同代码的组合会使您的代码易受攻击?如果是,你能举个例子吗?在 master 上运行另一个 SAST 审查是否有意义(在合并任何分支之后)?