А я ж правильно понимаю что с сонаром воркфлоу примерно такой: запустил первый раз, потом неделю-две добавил в исключения все что можно и нельзя, потом осталось допустим 3% от того что нарисовало сначала - и тут уже можно работать?
Я так делал один раз, а один раз пришел на готовый а там уже из проекта только одна маленькая папочка сканировалась

Ну вообще это абсолютно нормальная практика, после первого прогона скана, например, статики, всё что насканилось называется техническим долгом команды ИБ, который нужно разобрать. Он методично и потихоньку своими силами или третьей стороны разбирается и только актуальные баги заносятся в Jira.

А вот сканирование нового кода или инкременты на пуллреквесты могут дать хороший результат. То есть мы не закидывает команду сразу отчётом на 3 тыщи страниц, а говорим, что вот в новом коде так писать не стоит. И поправить это проще и быстрее, так как фича ещё в разработке и не вызывает такого негатива.

Скорее подход Юрия более жизнеспособен) Исправить то, чему срок условная неделя проще, чем то, чему уже 2 года)

Это да, но возможно тому что уже 2 года и исправлять не надо =)

Так а смысл исправлять запятые? Вы ж сами пишете что баги нужно ранжировать по критичности, ну типа админка без пароля

Так а смысл исправлять запятые? Вы ж сами пишете что баги нужно ранжировать по критичности, ну типа админка без пароля

Это да, но возможно тому что уже 2 года и исправлять не надо =)

Ну, возможно и стоит, но с подходом, что мы сначала пытаемся предотвратить появление новых, чтобы техдолг не разрастался

Для этого нужны стальные яйца)

Делать пул реквесты красными?