探索代码质量提升的新工具:`semgrep-go`

最新推荐文章于 2024-07-11 11:06:23 发布
最新推荐文章于 2024-07-11 11:06:23 发布
阅读量397 收藏 3
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00094/article/details/139109809
版权

探索代码质量提升的新工具:semgrep-go

semgrep-goGo rules for semgrep and go-ruleguard项目地址:https://gitcode.com/gh_mirrors/sem/semgrep-go

1. 项目介绍

semgrep-go 是一个针对 Go 语言的代码检测工具集合,它提供了一系列规则,用于发现代码中的不良编程习惯和潜在问题。这个开源项目支持使用 semgrepruleguard 规则引擎,并且对 comby 的模式也有所兼容。通过这些规则,你可以轻松地在代码审核阶段找出并修复可能影响软件稳定性的编码错误。

2. 项目技术分析

semgrep-go 的核心在于它的规则库,包括了多个针对特定情况的检查器,如 badexponentiation 检查指数运算符的误用,errtodo 检查错误处理中的待办事项等。semgrep 是一个轻量级的静态分析工具,允许开发者以一种声明式的方式定义代码规则,而 ruleguard 则是一个为 Go 代码设计的灵活的规则检查框架。

运行规则非常简单,只需一条命令即可执行单个或所有规则:

$ semgrep -f path/to/semgrep-go/rule.yml .   # 单个规则
$ semgrep -f path/to/semgrep-go/ .          # 所有 semgrep 规则
$ ruleguard -c=0 -rules path/to/semgrep-go/ruleguard.rules.go ./...  # 所有 ruleguard 规则

3. 项目及技术应用场景

无论你是个人开发者还是团队,semgrep-go 都能很好地融入你的开发流程。它可以集成到持续集成(CI)系统中,作为代码质量检查的一部分,或者作为日常开发过程中的辅助工具,帮助你在编写代码时就发现潜在问题。此外,对于维护大型 Go 项目的人来说,这个工具可以帮助他们保持代码的一致性和优化性能。

4. 项目特点

  • 易于使用:只需简单的命令行操作,就可以运行所有的规则检查。
  • 广泛覆盖:涵盖了多种常见的代码问题,从错误的位运算到不正确的错误处理,应有尽有。
  • 扩展性强:除了内置的规则外,还可以添加自定义规则,满足个性化的代码审查需求。
  • 兼容性好:支持 semgrepruleguard 两个流行规则引擎,同时也考虑到了 comby 用户。

总的来说,semgrep-go 是一款强大的代码审计工具,能够帮助你提升代码质量,降低潜在的bug风险,是每个 Go 开发者值得拥有的开发伙伴。如果你希望让你的代码更加健壮,不妨试试看 semgrep-go,让代码质量更上一层楼!

semgrep-goGo rules for semgrep and go-ruleguard项目地址:https://gitcode.com/gh_mirrors/sem/semgrep-go

毛彤影
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
semgrep-rules:Semgrep规则注册表
02-25
使用semgrep docker映像 测试状态 master returntocorp/semgrep:latest develop returntocorp/semgrep:develop 欢迎! 该存储库是规则的“标准库”,但是在,还有更多由和其他贡献者编写的内容。 如何使用这些...
semgrep-rules:semgrep规则,用于在Python,Go和Java源代码中查找不确定性和错过的错误处理
01-29
此存储库包含用于在Python,Go和Java源代码中查找不确定性和错过的错误处理的模式。 规则引擎当前支持 。 要运行单个semgrep规则: $ semgrep -f rules/<type>/<lang>/<rule>.yml . 要运行所有semgrep规则: $ ...
使用semgrep代码规范扫描
ljyfree的专栏
07-11 506
关于如何用semgrep编写检查代码规范
Semgrep结合GitLab实现代码审计实践-服务端
汤青松博客
06-03 7933
一、背景 前段时间在做代码审计,发现很多项目都存在安全隐患,大多数是来自于参数未过滤所造成的;为了解决这个问题,我将Web安全开发规范手册V1.0进行了培训,但是效果并不是太理想,原因是培训后开发者的关注点主要在功能完成度上,安全编码对于他们来说并不是核心指标; 为了能让开发者时时刻刻关注安全问题,我在gitlab服务端放了一个钩子,这个钩子主要是将本次提交的代码文件进行了检测,遇到可能存在安全风险的问题将其输出出来,这样开发者能够对培训的内容有更深的感受,更注重编码时候的安全问题。 二、操作步骤 搭建环
推荐文章:探索安全代码境界 —— 使用semgrep-rules进行漏洞研究
gitblog_00082的博客
06-04 414
推荐文章:探索安全代码境界 —— 使用semgrep-rules进行漏洞研究 项目地址:https://gitcode.com/0xdea/semgrep-rules 在编程世界中,每一行代码都可能是潜在的安全隐患,特别是在C和C++这样的底层语言中。因此,一个强大且专注的工具——【semgrep-rules】应运而生,它是由知名安全专家维护的一系列Semgrep规则集,专为那些致力于揭露软件...
go exec docker 命令_Semgrep代码静态分析初步:docker部署,查询和扫描
weixin_36443823的博客
12-25 515
静态分析是一个非常有用的工具,使用它可以帮助开发者或者安全人员在开发阶段就能发现代码中存在的bug和安全问题。静态分析是一个综合性和系统性的工程,对于每一个开发者和安全人员来说了解其原理,并能使用工具进行初步的分析很有必要。本文我们介绍一个开源的快速高效的多语言静态分析工具Semgrep,通过在Docker中设置基本Semgrep环境,并用一些简单的例子说明其用法。概述诸如pylint的Pytho...
代码审计-python和c
守护万家灯火
04-24 303
在linux下运行python3 -m pip install semgrep。windows下运行会失败不清楚是不是姿势不对。python3代码安全审计,使用semgrep
semgrep-rules:我的自定义semgrep规则
01-29
`semgrep-rules-master`压缩包中的内容,是一系列针对不同编程语言的`Semgrep`自定义规则,旨在提升代码质量,保证安全性,优化性能,并且符合各语言的最佳实践。通过学习和应用这些规则,开发者能够提升代码审查...
semgrep-vscode:适用于Visual Studio Code的Semgrep扩展
03-19
semgrep-vscode Visual Studio Code扩展。 每次保存文件时,请内联查看Semgrep扫描结果 通过在Visual Studio Code中设置semgrep.rules选择运行Semgrep规则 先决条件 您将需要自己安装semgrep 。你可以这样 pip ...
semgrep-cpp:为semgrep生成的C ++解析器
02-11
【标题】:“semgrep-cpp:为semgrep生成的C++解析器” 【知识点详解】 semgrep-cpp 是一个专为...对于任何涉及C++开发的团队,semgrep-cpp都是一个值得考虑的工具,它能带来显著的开发效率提升代码质量改善。
实时计算:Apache Flink:Flink与Kafka集成实现事件驱动架构.docx
09-02
实时计算:Apache Flink:Flink与Kafka集成实现事件驱动架构.docx
移动软件开发实验五:高校
09-02
移动软件开发实验五:高校
分布式存储系统:Google Cloud Storage:GoogleCloudStorage架构解析.docx
09-02
分布式存储系统:Google Cloud Storage:GoogleCloudStorage架构解析.docx
基于现有explorer文件资源管理,实现跨平台告诉多标签页文件资源管理器,类似360文件管理器等,还处于起步阶段
09-02
基于现有explorer文件资源管理,实现跨平台告诉多标签页文件资源管理器,类似360文件管理器等,还处于起步阶段
关于进程之间的通信IPC,管道,信号的学习
最新发布
09-02
进程间通信(IPC)是操作系统中用于让不同进程之间相互通信的机制。管道是一种半双工的通信方式,数据只能单向流动,而且只能在具有亲缘关系的进程间使用。信号是在软件层次上对中断机制的一种模拟,是一种异步通信方式。该文章讲述了进程的通信通过管道与信号,以及扩展信号等实现进程间数据的交互。它们涵盖基础知识、代码示例和应用场景,适合初学者学习和参考。这些资源能够帮助你理解相关概念,并在实际开发中运用它们进行有效的进程间通信。
我的第二个练手项目:(django1.9+python2.7)慕学网在线教育平台(后端部分).zip
09-02
我的第二个练手项目:(django1.9+python2.7)慕学网在线教育平台(后端部分)
Android开发实战经典-041105-传感器视频教程.zip
09-02
Android开发实战经典_041105_传感器视频教程.zip
try except finally的用法.doc
09-02
try except finally的用法.doc
semgrep自定义规则
05-13
Semgrep是一款开源的静态代码分析工具,可以通过自定义规则代码进行检测。以下是自定义规则的步骤: 1. 创建规则文件 可以使用任何文本编辑器创建Semgrep规则文件,文件后缀名为.yml,例如my_rules.yml。在规则文件中,需要定义规则的名称、匹配模式、消息和建议等内容。 2. 定义规则匹配模式 规则匹配模式是指Semgrep用来匹配代码的模式。可以使用Semgrep的查询语言来定义匹配模式。例如,以下是一个匹配Java中字符串拼接的规则: ``` rules: - id: java-string-concatenation message: "Avoid string concatenation in loops" patterns: - pattern: | for ($TYPE $VAR : $ITR) { $TYPE sb = new $TYPE(); $sb.append($VAR); $sb.append($VAR2); ... $VAR3 = sb.toString(); } vars: - VAR: { nodeType: StringLiteral } - VAR2: { nodeType: StringLiteral } - VAR3: { nodeType: VariableDeclarator } - ITR: { nodeType: EnhancedForLoop } - TYPE: { nodeType: Identifier, value: "StringBuilder" } ``` 3. 定义规则消息和建议 在规则文件中,需要定义规则的消息和建议。消息是指如果代码匹配规则Semgrep会输出的消息内容。建议是指Semgrep应该如何修复代码问题。例如: ``` rules: - id: java-logger-usage message: "Avoid using java.util.logging.Logger in production code" severity: WARNING patterns: - pattern: | import java.util.logging.Logger; ... Logger.getLogger($LOGGER_NAME); vars: - LOGGER_NAME: { nodeType: StringLiteral } recommended: python: "logging.getLogger({LOGGER_NAME})" java: "LogFactory.getLog({ENCLOSING_CLASS}.class)" ``` 4. 将规则文件应用于代码 可以使用Semgrep命令行工具规则文件应用于代码。例如,在终端中执行以下命令: ``` semgrep -f my_rules.yml /path/to/my/code ``` 这将在指定路径的代码中应用规则文件中定义的规则。 以上就是自定义Semgrep规则的步骤。需要注意的是,定义良好的规则可以帮助开发人员及时发现代码中的问题并加以修复。因此,建议在实际开发中使用Semgrep来保证代码质量
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

毛彤影

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值