Когда мы ищем баги в коде, самые опасные цепочки часто размазаны по десяткам файлов. Данные приходят через controller, проходят DTO, service layer, helper’ы, а потом внезапно оказываются внутри SQL-запроса, shell-команды или file API. На GitHub появился новый open-source инструмент от PhonePe "Nika". Инструмент строит полный путь движения данных через приложение, что делает анализ намного ближе к реальной эксплуатации. ⚙️ Что умеет Nika? Внутри: 🔹 строит межфайловый graph зависимостей 🔹 делает inter-procedural taint tracking 🔹 связывает source → propagation → sink 🔹 анализирует branch-aware изменения (полезно для PR review) 🔹 использует AI-assisted triage для сокращения false positives Поддерживаемые sink’и: • SQL execution • File system operations • Template engines • Reflection • Network requests • Deserialization points Для понимания, инструмент не про «подозрительные строки», а про реальные пути эксплуатации. Для security review больших Java codebase это особенно полезн