Semgrep代码静态分析工具

于 2024-09-26 13:15:00 发布
阅读量315 收藏
点赞数 6
分类专栏: devops cicd 文章标签: devops 运维 linux ubuntu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lisanmengmeng/article/details/142386586
版权
devops 同时被 2 个专栏收录
107 篇文章 0 订阅
订阅专栏
cicd
70 篇文章 0 订阅
订阅专栏

Semgrep代码静态分析工具

静态分析是一个非常有用的工具,使用它可以帮助开发者或者安全人员在开发阶段就能发现代码中存在的bug和安全问题。静态分析是一个综合性和系统性的工程,对于每一个开发者和安全人员来说了解其原理,并能使用工具进行初步的分析很有必要

Semgrep使用代码的标准表达进行模式匹配,而无需复杂的查询或者正则。可用于在DevSecOps各个阶段:代码编写,代码提交或者CI运行时发现Bug和漏洞。其精确的规则看起来就像要搜索的代码,无需遍历抽象语法树或与正则表达式死扛。与传统的正则表达式(和传统的grep)不同,它可以找到递归模式。这使其特别有用,可以作为学习查找任何语言模式的工具。

Semgrep还支持容器化方式部署和运行,由emgrep官方注册表中,有Semgrep社区维护的包安全性,正确性,性能,代码质量和Bug等各方面的1000多规则可直接拿来使用。

Semgrep软件安全公司r2c开发并提供商业支持。目前已经有大量的企业用于生产环境中,也有很多工具比如NodeJsScan之类底层支持引擎。

下载镜像

docker pull returntocorp/semgrep:latest 

lisanmengmeng
关注
专栏目录
Semgrep是许多语言的轻量级静态分析。 使用看起来像源代码的模式查找错误变体。-Python开发
05-25
Semgrep是一种快速,开放源代码静态分析工具,擅长表达代码标准-无需复杂的查询-并在编辑器,提交和CI时提早发现bug。 精确的规则看起来就像您要搜索的代码; 不再遍历抽象语法树或与正则表达式搏斗。 多种语言的轻量级静态分析。 查找错误并执行代码标准。 Semgrep是一种快速,开放源代码静态分析工具,擅长表达代码标准-无需复杂的查询-并在编辑器,提交和CI时提早发现bug。 精确的规则看起来就像您要搜索的代码; 不再遍历抽象语法树或与正则表达式搏斗。 Semgrep注册表具有由Semgrep社区编写的1000多个涉及securi的规则
semgrep:许多语言的轻量级静态分析。 使用看起来像源代码的模式查找错误变体
02-03
多种语言的轻量级静态分析。 查找错误并执行代码标准。 Semgrep是一种快速,开源的静态分析工具,擅长表达代码标准-无需复杂的查询-并在编辑,提交和CI阶段及早发现漏洞。 精确的规则看起来就像您要搜索的代码; 不再遍历抽象语法树或与正则表达式搏斗。 有1000多个由Semgrep社区编写的规则,涉及安全性,正确性和性能错误。 除非您愿意,否则无需DIY。 Semgrep在未编译的代码上脱机运行。 从一个人的初创企业到数十亿美元的公司,Semgrep广泛用于生产中。 它是诸如工具中的引擎。 Semgrep由开发并提供商业支持。 r2c的免费托管服务允许组织编写和共享规则,并在许多项目中
Semgrep 规则库使用教程
gitblog_00457的博客
09-08 444
Semgrep 规则库使用教程 semgrep-rulesSemgrep queries developed by Trail of Bits.项目地址:https://gitcode.com/gh_mirrors/se/semgrep-rules 1. 项目介绍 Semgrep 是一个开源的静态代码分析工具,旨在帮助开发者在代码库中发现潜在的安全漏洞和代码质量问题。semgrep-rules ...
semgrep-rules:semgrep规则,用于在Python,Go和Java源代码中查找不确定性和错过的错误处理
01-29
semgrep规则 此存储库包含用于在Python,Go和Java源代码中查找不确定性和错过的错误处理的模式。 规则引擎当前支持 。 要运行单个semgrep规则: $ semgrep -f rules/<type>/<lang>/<rule>.yml . 要运行所有semgrep规则: $ semgrep -f rules/<type>/<lang>/ . Semgrep检查: 规则 Python 走 Java 假设时区 是 与当前时间比较 是 是 与浮点数比较 是 比较无序数据结构 是 错过重试访问 是 随机种子取决于当前时间 是 睡眠同步 是 是 是 参考文献: 片状测试的实证分析-罗青州,法拉赫·哈里里(Farah Hariri),拉米亚·伊卢西(Lamyaa Eloussi),达科·马里诺夫(Darko Marinov) 影响因素及其对测试脱皮性影响的经验分析-从业者的感知-Azeem Ahmad,Ola Leifler,Kristian Sandahl 大规模工业环境中导致根本错误的根本原因-荣·林,帕特里斯·戈德福里德,苏曼·纳特,阿尼鲁德·桑蒂亚尔,苏雷
go exec docker 命令_Semgrep代码静态分析初步:docker部署,查询和扫描
weixin_36443823的博客
12-25 528
静态分析是一个非常有用的工具,使用它可以帮助开发者或者安全人员在开发阶段就能发现代码中存在的bug和安全问题。静态分析是一个综合性和系统性的工程,对于每一个开发者和安全人员来说了解其原理,并能使用工具进行初步的分析很有必要。本文我们介绍一个开源的快速高效的多语言静态分析工具Semgrep,通过在Docker中设置基本Semgrep环境,并用一些简单的例子说明其用法。概述诸如pylint的Pytho...
semgrep-docs:Semgrep的文档:快速,开源,静态分析工具
02-09
多种语言的轻量级静态分析。 查找错误并执行代码标准。 该存储库为。 贡献 欢迎对文档做出贡献! 要开始贡献,首先请确保您已阅读并同意Semgrep的。 在本地开发文档 安装mkdocs: pip install mkdocs 安装所需的插件: pip install mkdocs-redirects 克隆仓库 使用mkdocs serve在本地运行文档,然后转到: : : mkdocs serve /
androidjava源码-mobsfscan:mobsfscan是一个静态分析工具,可以在您的Android和iOS源代码中找到不安全的代码
05-20
mobsfscan是一个静态分析工具,可以在您的Android和iOS源代码中找到不安全的代码模式。 支持Java,Kotlin,Swift和Objective C代码。 mobsfscan使用MobSF静态分析规则,并由semgrep和简单的模式匹配器提供支持。 ...
semgrep-rules:我的自定义semgrep规则
01-29
`Semgrep`(Semantic grep)是一个开源的静态分析工具,它的主要功能是扫描源代码,寻找符合特定模式的语句。这些模式可以是简单的字符串匹配,也可以是复杂的逻辑结构。它支持多种编程语言,并且可以通过自定义规则...
semgrep-cpp:为semgrep生成的C ++解析器
02-11
semgrep-cpp 是一个专为semgrep工具设计的C++解析器,它旨在帮助开发者在C++代码库中进行静态分析和模式匹配。semgrep是一款强大的开源工具,能够识别源代码中的特定模式并报告不符合规则的代码片段。通过使用...
使用semgrep代码规范扫描
ljyfree的专栏
07-11 703
关于如何用semgrep编写检查代码规范
semgrep-vscode:适用于Visual Studio Code的Semgrep扩展
03-19
semgrep-vscode Visual Studio Code扩展。 每次保存文件时,请内联查看Semgrep扫描结果 通过在Visual Studio Code中设置semgrep.rules选择运行的Semgrep规则 先决条件 您将需要自己安装semgrep 。你可以这样 pip install semgrep 或者 brew install semgrep 在macOS上。有关其他安装说明,请参见 。 配置 您可以通过转到“偏好设置”>“设置”来设置以下选项: semgrep.languages 运行Semgrep扫描的语言。默认情况下,将其设置为所有受支持的语言。 semgrep.rules 进行扫描的规则。这将作为--config传递给semgrep CLI。默认情况下,它设置为 。 支持 如果遇到问题,请加入以获取支持。
Semgrep结合GitLab实现代码审计实践-服务端
汤青松博客
06-03 7970
一、背景 前段时间在做代码审计,发现很多项目都存在安全隐患,大多数是来自于参数未过滤所造成的;为了解决这个问题,我将Web安全开发规范手册V1.0进行了培训,但是效果并不是太理想,原因是培训后开发者的关注点主要在功能完成度上,安全编码对于他们来说并不是核心指标; 为了能让开发者时时刻刻关注安全问题,我在gitlab服务端放了一个钩子,这个钩子主要是将本次提交的代码文件进行了检测,遇到可能存在安全风险的问题将其输出出来,这样开发者能够对培训的内容有更深的感受,更注重编码时候的安全问题。 二、操作步骤 搭建环
linux中安装semgrep
weixin_44562450的博客
04-13 681
然后找一份代码放入你可以找到的linux目录。通过python3 安装。
17、详解java线程同步工具Semaphore的使用
冯冬冬的博客
10-25 492
Semaphore是java并发包里面的一个工具类,我们限制可以访问某些资源的线程数目就可以使用Semaphore了。这篇文章将对Semaphore的概念和使用进行一个详解。 一、概念理解 官方是这样解释的: Semaphore用于限制可以访问某些资源(物理或逻辑的)的线程数目,他维护了一个许可证集合,有多少资源需要限制就维护多少许可证集合,假如这里有N个资源,那就对应于N个许可证,同一时刻也只...
推荐文章:探索安全代码的新境界 —— 使用semgrep-rules进行漏洞研究
gitblog_00082的博客
06-04 436
推荐文章:探索安全代码的新境界 —— 使用semgrep-rules进行漏洞研究 semgrep-rules A collection of my Semgrep rules to facilitate vulnerability research. 项目地址: ...
一款轻量级开源SAST工具semgrep分析
南迪叶先森
07-13 1412
公粽号:黒掌 一个专注于分享网络安全、黑客圈热点、黑客工具技术区博主! 整个中文网络对semgrep的信息之少,竟然只找到一篇内容还过得去的文章:介绍semgrep扫描xss漏洞,而且读起来还像是翻译的。这般待遇实在是与semgrep的强大和在国外的流行完全匹配不上,再加上近期团队做安全编码规范的配套扫描工具建设,从而催生了本文。 简介 semgrep是一款基于Facebook开源SAST工具pfff中的sgrep组件开发的开源SAST工具,目前由安全公司r2c统一开发维护,走的是开源共建模式,主打轻量.
Semgrep 规则项目使用教程
最新发布
gitblog_00408的博客
09-08 813
Semgrep 规则项目使用教程 semgrep-rulesSemgrep queries developed by Trail of Bits.项目地址:https://gitcode.com/gh_mirrors/se/semgrep-rules 1. 项目的目录结构及介绍 semgrep-rules/ ├── CODE_OF_CONDUCT.md ├── CONTRIBUTING.md ├...
关于Checkmarx、CodeQL和Semgrep的测试结果比较
jimmyleeee的专栏
05-07 1140
对于SAST工具而言,对框架的支持非常重要,它可以有效地发现基于某些框架的漏洞,而且现在系统的开发为了提高开发效率,基本上没有从0开始的,都是基于框架的,因此,对于框架的支持程度对于扫描结果的影响很大。Semgrep是在本地扫描,然后将扫描的结果发送到Semgrep的云上,通过Web Portal再显示扫描结果,虽然在数据流里显示了具体的文件与行号,但是,由于不能和源代码联动,在做甄别问题时,就显得比较费劲,如果上传代码到云上,又有泄露的安全风险。本文列列举了工具的各个方面的比较,比较的方面和结果如下。
Centos7 编译与调试 semgrep 1.19 源码
wjz520241的博客
08-07 291
1.必要环境centos7系统,root权限,下列所有操作均在centos7桌面版本的root权限下进行1.1 安装rust1.2 安装gmp1.3 安装nodejs npm1.4 安装pcre1.5 需要先安装python3.7以上的python3才能执行下列命令1.6 安装沙盒。
semgrep自定义规则
05-13
Semgrep是一款开源的静态代码分析工具,可以通过自定义规则对代码进行检测。以下是自定义规则的步骤: 1. 创建规则文件 可以使用任何文本编辑器创建Semgrep规则文件,文件后缀名为.yml,例如my_rules.yml。在规则文件中,需要定义规则的名称、匹配模式、消息和建议等内容。 2. 定义规则匹配模式 规则匹配模式是指Semgrep用来匹配代码的模式。可以使用Semgrep的查询语言来定义匹配模式。例如,以下是一个匹配Java中字符串拼接的规则: ``` rules: - id: java-string-concatenation message: "Avoid string concatenation in loops" patterns: - pattern: | for ($TYPE $VAR : $ITR) { $TYPE sb = new $TYPE(); $sb.append($VAR); $sb.append($VAR2); ... $VAR3 = sb.toString(); } vars: - VAR: { nodeType: StringLiteral } - VAR2: { nodeType: StringLiteral } - VAR3: { nodeType: VariableDeclarator } - ITR: { nodeType: EnhancedForLoop } - TYPE: { nodeType: Identifier, value: "StringBuilder" } ``` 3. 定义规则消息和建议 在规则文件中,需要定义规则的消息和建议。消息是指如果代码匹配规则,Semgrep会输出的消息内容。建议是指Semgrep应该如何修复代码问题。例如: ``` rules: - id: java-logger-usage message: "Avoid using java.util.logging.Logger in production code" severity: WARNING patterns: - pattern: | import java.util.logging.Logger; ... Logger.getLogger($LOGGER_NAME); vars: - LOGGER_NAME: { nodeType: StringLiteral } recommended: python: "logging.getLogger({LOGGER_NAME})" java: "LogFactory.getLog({ENCLOSING_CLASS}.class)" ``` 4. 将规则文件应用于代码 可以使用Semgrep命令行工具将规则文件应用于代码。例如,在终端中执行以下命令: ``` semgrep -f my_rules.yml /path/to/my/code ``` 这将在指定路径的代码中应用规则文件中定义的规则。 以上就是自定义Semgrep规则的步骤。需要注意的是,定义良好的规则可以帮助开发人员及时发现代码中的问题并加以修复。因此,建议在实际开发中使用Semgrep来保证代码质量。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

lisanmengmeng

蚊子腿也是肉

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值