一款轻量级开源SAST工具semgrep的分析

最新推荐文章于 2025-07-04 14:34:13 发布
最新推荐文章于 2025-07-04 14:34:13 发布
阅读量1.7k 收藏 5
点赞数
CC 4.0 BY-SA版权
分类专栏: 信息安全 文章标签: 信息安全 网络安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44420143/article/details/118702245

公粽号:黒掌
一个专注于分享网络安全、黑客圈热点、黑客工具技术区博主!

整个中文网络对semgrep的信息之少,竟然只找到一篇内容还过得去的文章:介绍semgrep扫描xss漏洞,而且读起来还像是翻译的。这般待遇实在是与semgrep的强大和在国外的流行完全匹配不上,再加上近期团队做安全编码规范的配套扫描工具建设,从而催生了本文。

简介

semgrep是一款基于Facebook开源SAST工具pfff中的sgrep组件开发的开源SAST工具,目前由安全公司r2c统一开发维护,走的是开源共建模式,主打轻量定制化,slogan是Static analysis at ludicrous speed, Find bugs and enforce code standards(以极致的速度扫描发现bug并强化代码规范的落地)
img

原理

semgrep同时支持正则匹配和AST分析两种模式,跟国内前些年流行的开源SAST工具cobra原理比较相近,从技术演进的方向上看,semgrep大致位于中间地带:
img

如下图所示,扫描器核心逻辑在semgrep-core,可以看到工具主要是由OCaml语言开发,然后通过python执行系统命令去调用semgrep-core,关于semgrep-core的具体实现另文介绍。

最低0.47元/天 解锁文章

200万优质内容无限畅学
安全测试自动化框架比较:软件工程中的最佳选择
项目管理的博客
05-10 671
随着“万物互联”时代的到来,软件系统面临的安全威胁呈指数级增长:2023年《全球漏洞趋势报告》显示,高危漏洞数量同比上升37%,手动安全测试已无法满足“快速迭代+高安全性”的双重需求。本文聚焦安全测试自动化框架,覆盖动态(DAST)、静态(SAST)、交互式(IAST)三大主流类型,对比20+款工具的核心能力,帮助技术团队根据项目阶段、团队能力、预算等因素做出科学选择。本文从“安全测试的底层逻辑”讲起,用“盖房子”比喻解释核心概念;通过“主流框架对比表”直观展示工具差异;
semgrep-docs:Semgrep的文档:快速,开源,静态分析工具
02-09
多种语言的轻量级静态分析。 查找错误并执行代码标准。 该存储库为。 贡献 欢迎对文档做出贡献! 要开始贡献,首先请确保您已阅读并同意Semgrep的。 在本地开发文档 安装mkdocs: pip install mkdocs 安装所需的插件: pip install mkdocs-redirects 克隆仓库 使用mkdocs serve在本地运行文档,然后转到: : : mkdocs serve /
Semgrep 开源项目使用教程
gitblog_01143的博客
03-27 553
Semgrep 开源项目使用教程 1. 项目介绍 Semgrep 是一个快速、开源的静态分析工具,它可以搜索代码、发现错误,并执行安全的防护措施以及编码标准的强制实施。Semgrep 支持 30 多种语言,并可以在 IDE 中运行,作为预提交检查,以及作为 CI/CD 工作流程的一部分。Semgrep 是代码的语义化 grep,它能够理解代码上下文,而不仅仅是匹配字符串。 2. 项目快速启动 首先...
sast-scan:完全开源SAST扫描仪,支持多种语言和框架。与主要的CI管道和IDE(例如Azure DevOps,Google CloudBuild,VS Code和Visual Studio)集成。无需服务器!
03-21
介绍 ___ _____ _ _ / _ \ | _ _ | | | | / /_ \ \_ __ _ __ | | | | __ _ __ ___ __ _ | | _ | _ | ' _ \| ' _ \| | | ' _ \| ' __/ _ \/ _ ` | __ | | | | | | _) | | _) | | | | | | | | __/ (_ | | | _ \_ | | _/ .__/ | .__/ \_ / | _ | | _ | _ | \_ __ | \_ _,_ | \_ _ | | | | | | _ | | _ | 此存储库构建了appthreat/sast-scan (和quay.io/ap
2025最值得推荐的10款开源项目管理工具
2503_92645221的博客
07-04 1575
Jira是由Atlassian公司开发的项目管理工具,最初专为软件开发团队设计,现已成为全球最流行的敏捷开发平台之一。Jira以其强大的自定义工作流、缺陷跟踪能力和与Confluence、Bitbucket的无缝集成而闻名。
semgrep-rules:semgrep规则,用于在Python,Go和Java源代码中查找不确定性和错过的错误处理
01-29
semgrep规则 此存储库包含用于在Python,Go和Java源代码中查找不确定性和错过的错误处理的模式。 规则引擎当前支持 。 要运行单个semgrep规则: $ semgrep -f rules/<type>/<lang>/<rule>.yml . 要运行所有semgrep规则: $ semgrep -f rules/<type>/<lang>/ . Semgrep检查: 规则 Python 走 Java 假设时区 是 与当前时间比较 是 是 与浮点数比较 是 比较无序数据结构 是 错过重试访问 是 随机种子取决于当前时间 是 睡眠同步 是 是 是 参考文献: 片状测试的实证分析-罗青州,法拉赫·哈里里(Farah Hariri),拉米亚·伊卢西(Lamyaa Eloussi),达科·马里诺夫(Darko Marinov) 影响因素及其对测试脱皮性影响的经验分析-从业者的感知-Azeem Ahmad,Ola Leifler,Kristian Sandahl 大规模工业环境中导致根本错误的根本原因-荣·林,帕特里斯·戈德福里德,苏曼·纳特,阿尼鲁德·桑蒂亚尔,苏雷
semgrep:许多语言的轻量级静态分析。 使用看起来像源代码的模式查找错误变体
02-03
多种语言的轻量级静态分析。 查找错误并执行代码标准。 Semgrep是一种快速,开源的静态分析工具,擅长表达代码标准-无需复杂的查询-并在编辑,提交和CI阶段及早发现漏洞。 精确的规则看起来就像您要搜索的代码; 不再遍历抽象语法树或与正则表达式搏斗。 有1000多个由Semgrep社区编写的规则,涉及安全性,正确性和性能错误。 除非您愿意,否则无需DIY。 Semgrep在未编译的代码上脱机运行。 从一个人的初创企业到数十亿美元的公司,Semgrep广泛用于生产中。 它是诸如工具中的引擎。 Semgrep由开发并提供商业支持。 r2c的免费托管服务允许组织编写和共享规则,并在许多项目中
国内外主流静态分析工具汇总
热门推荐
manok的专栏
07-27 2万+
笔者从事该软件安全方面工作,在工作和学习中收集了国内外比较主流的静态分析工具,供大家参考。大多是资料来自于网络整理,如有不足或欠缺,还请在评论中指出。我进行修正。也欢迎同行多多交流。 我使用0标注北大软件CoBOT,因为他是国内第一款基于主流SAST技术的静态分析工具,填补了国内在缺陷检测、安全漏洞软件工具上的空白。值得称赞的工具。 0、北大软件CoBOT CoBOT(库博)是北京大学...
Semgrep 项目使用教程
gitblog_00816的博客
03-27 414
Semgrep 项目使用教程 1. 项目目录结构及介绍 Semgrep 是一个开源的静态分析工具,用于搜索代码、发现漏洞并执行安全防护措施。以下是项目的目录结构及其简要介绍: cli:包含 Semgrep 命令行工具的源代码。 dev:开发工具和配置文件。 images:项目相关的图像文件。 interfaces:定义项目接口的代码。 languages:支持的语言相关的代码和规则。 libs:...
Semgrep
03-30
Semgrep 是一种轻量级开源的静态应用程序安全测试(SAST工具,旨在帮助开发者快速识别和修复代码中的潜在问题。它通过模式匹配技术扫描代码库,可以检测各种类型的漏洞和不合规的编码习惯[^1]。 #### 主要功能 ...
【亲测免费】 Semgrep 规则库使用教程
gitblog_00457的博客
09-08 982
Semgrep 规则库使用教程 1. 项目介绍 Semgrep 是一个开源的静态代码分析工具,旨在帮助开发者在代码库中发现潜在的安全漏洞和代码质量问题。semgrep-rules 是 Semgrep 的规则库,包含了大量的预定义规则,涵盖多种编程语言和框架。这些规则可以帮助开发者快速识别和修复代码中的问题。 2. 项目快速启动 2.1 安装 Semgrep 首先,你需要安装 Semgrep CLI...
Semgrep是许多语言的轻量级静态分析。 使用看起来像源代码的模式查找错误变体。-Python开发
05-25
Semgrep是一种快速,开放源代码的静态分析工具,擅长表达代码标准-无需复杂的查询-并在编辑器,提交和CI时提早发现bug。 精确的规则看起来就像您要搜索的代码; 不再遍历抽象语法树或与正则表达式搏斗。 多种语言的轻量级静态分析。 查找错误并执行代码标准。 Semgrep是一种快速,开放源代码的静态分析工具,擅长表达代码标准-无需复杂的查询-并在编辑器,提交和CI时提早发现bug。 精确的规则看起来就像您要搜索的代码; 不再遍历抽象语法树或与正则表达式搏斗。 Semgrep注册表具有由Semgrep社区编写的1000多个涉及securi的规则
PyPI 官网下载 | semgrep-0.26.0.tar.gz
01-29
资源来自pypi官网。 资源全名:semgrep-0.26.0.tar.gz
semgrep-vscode:适用于Visual Studio Code的Semgrep扩展
03-19
semgrep-vscode Visual Studio Code扩展。 每次保存文件时,请内联查看Semgrep扫描结果 通过在Visual Studio Code中设置semgrep.rules选择运行的Semgrep规则 先决条件 您将需要自己安装semgrep 。你可以这样 pip install semgrep 或者 brew install semgrep 在macOS上。有关其他安装说明,请参见 。 配置 您可以通过转到“偏好设置”>“设置”来设置以下选项: semgrep.languages 运行Semgrep扫描的语言。默认情况下,将其设置为所有受支持的语言。 semgrep.rules 进行扫描的规则。这将作为--config传递给semgrep CLI。默认情况下,它设置为 。 支持 如果遇到问题,请加入以获取支持。
安全代码审计:Bandit与Semgrep自动化扫描.pdf
最新发布
07-22
文档支持目录章节跳转同时还支持阅读器左侧大纲显示和章节快速定位,文档内容完整、条理清晰。文档内所有文字、图表、函数、目录等元素均显示正常,无任何异常情况,敬请您放心查阅与使用。文档仅供学习参考,请勿用作商业用途。 想轻松敲开编程大门吗?Python 就是你的不二之选!它作为当今最热门的编程语言,以简洁优雅的语法和强大的功能,深受全球开发者喜爱。该文档为你开启一段精彩的 Python 学习之旅。从基础语法的细致讲解,到实用项目的实战演练,逐步提升你的编程能力。无论是数据科学领域的数据分析与可视化,还是 Web 开发中的网站搭建,Python 都能游刃有余。无论你是编程小白,还是想进阶的老手,这篇博文都能让你收获满满,快一起踏上 Python 编程的奇妙之旅!
【亲测免费】 Semgrep 规则项目使用教程
gitblog_00408的博客
09-08 1167
Semgrep 规则项目使用教程 1. 项目的目录结构及介绍 semgrep-rules/ ├── CODE_OF_CONDUCT.md ├── CONTRIBUTING.md ├── LICENSE ├── Makefile ├── Pipfile ├── Pipfile.lock ├── README.md ├── SECURITY.md ├── metadata-schema.yaml.sc...
Semgrep结合GitLab实现代码审计实践-服务端
汤青松博客
06-03 8160
一、背景 前段时间在做代码审计,发现很多项目都存在安全隐患,大多数是来自于参数未过滤所造成的;为了解决这个问题,我将Web安全开发规范手册V1.0进行了培训,但是效果并不是太理想,原因是培训后开发者的关注点主要在功能完成度上,安全编码对于他们来说并不是核心指标; 为了能让开发者时时刻刻关注安全问题,我在gitlab服务端放了一个钩子,这个钩子主要是将本次提交的代码文件进行了检测,遇到可能存在安全风险的问题将其输出出来,这样开发者能够对培训的内容有更深的感受,更注重编码时候的安全问题。 二、操作步骤 搭建环
推荐文章:探索安全代码的新境界 —— 使用semgrep-rules进行漏洞研究
gitblog_00082的博客
06-04 579
推荐文章:探索安全代码的新境界 —— 使用semgrep-rules进行漏洞研究 semgrep-rules A collection of my Semgrep rules to facilitate vulnerability research. 项目地址: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值