我这边之前也利用这个库自己实现了一个代码审计工具...我感觉如果是在SDL中倒是个不错的方案,目前用起来其实也挺爽的,我已经做了流跟踪。目前没有做santilizer,另外当时偷懒没有处理内部类、this情况,现在也懒得动代码了。还有就是处理spring-boot thymeleaf ssti等不符合污点传播的特殊情况要另外写代码来处理.,也是蛋疼..
我处理mybatis是拿的原生的mybatis代码来处理,毕竟需要考虑到include等标签的处理也很麻烦