- 综合排序
- 最热优先
- 最新优先
- 来自专栏从运维安全到DevSecOps
轻量级开源SAST工具semgrep分析12
首发于安全客:轻量级开源SAST工具semgrep分析 - 安全客,安全资讯平台 整个中文网络关于semgrep的信息非常之少,竟然只找到一篇内容还过得去的文章:介绍semgrep扫描xss漏洞,而且读起来还像是翻译的 这般待遇实在是与semgrep的强大和在国外的流行完全匹配不上,再加上近期团队做安全编码规范的配套扫描工具建设,从而催生了本文。 原理 semgrep同时支持正则匹配和AST分析两种模式,跟国内前些年流行的开源SAST工具cobra原理比较相近,从技术演进的方向上看,semgrep大致位于中间地带: 如下图所示,扫描器核心逻辑在 semgrep-core,可以看到工具主要是由OCaml语言开发,然后通过python执行系统命令去调用semgrep-core,关于semgrep-core的具体实现另文介绍。 下篇将分享semgrep具体实现逻辑,欢迎关注。 参考资料 semgrep官方分享 semgrep官网 semgrep官方规则集,但不如官网丰富
2K30编辑于 2022-06-21 - 来自专栏网络安全技术点滴分享
如何在组织内推广Semgrep静态代码分析工具
如何在组织内引入Semgrep - Trail of Bits博客Semgrep作为支持30+语言的静态分析工具,凭借易用性、丰富规则集和自定义规则能力成为发现代码安全问题的必备工具。 以下是我们的7步实施方案:7步实施计划语言支持确认undefined检查Semgrep支持的语言列表确认适用性初步探索undefined在小项目测试基础扫描:semgrep --config auto- -config auto会提交使用指标默认忽略.semgrepignore和.gitignore文件通过文件扩展名识别语言深度检测undefined使用注册中心规则集进行针对性扫描:semgrep -- 更新(如Pro版跨文件分析功能)结合Trail of Bits测试手册优化使用参与Semgrep社区Slack获取支持实用技巧附录扫描优化:semgrep --sarif # 配合VSCode插件查看结果 alias semgrep="semgrep --metrics=off" # 禁用指标上报semgrep -e 'exec(...)'
38110编辑于 2025-07-25 - 来自专栏PHP技术大全
Semgrep结合GitLab实现代码审计实践-服务端
3.3 安装semgrep 钩子程序中需要调用semgrep,这个程序gitlab中也没有安装,需要安装一下,这里采用pip安装,不过需要先升级pip的版本才行,升级的命令如下所示 pip3 install --upgrade pip 命令执行之后,返回的信息如下所示 image.png 在上图中可以看到pip的版本已经升级到21.1.2,说明升级成功了 semgrep还依赖setuptools模块,需要用 了,安装的命令如下所示 cd /usr/local/bin/ && python3 -m pip install semgrep 命令执行之后,返回的信息如下所示 image.png 在上图中可以看到semgrep 已经安装完成,这里我需要再次使用semgrep命令来验证一下,执行的命令如下所示 semgrep --version 命令执行之后,返回的信息如下所示 在上图中可以看到semgrep的版本信息为0.52.0 $ASSERT ...>, ...); - https://github.com/returntocorp/semgrep/issues/2035 - pattern-not: assert
1.3K30编辑于 2022-03-23 - 来自专栏深度学习与python
Opengrep分叉了Semgrep,以在许可证变更后解放规则集
Semgrep CE(前身为 Semgrep OSS)本身是于 2019 年从 Facebook 所编写的一个早期项目中分叉出来的。 新的 Opengrep 分叉背后的主要动机是修改了通过 semgrep/semgrep-rules 存储库提交给 Semgrep CE 的规则的许可证。 Semgrep 的创始人兼首席运营官 Luke O'Malley对这一批评做出了回应,他澄清道,Semgrep OSS 本身仍然是开源的,依然采用 LGPL 2.1 许可证,对规则库许可证的更改是为了应对一些公司重新分发规则库 他对 Semgrep 执行“开源 rug-pull”的说法提出了异议,并支持 Semgrep 的开放核心商业模式,在这种模式下,核心扫描仪是免费的,而附加功能是收费的。 ,同时也尊重 Semgrep 的商业权利”。
34800编辑于 2025-03-07 - 来自专栏FreeBuf
如何使用route-detect在Web应用程序路由中扫描身份认证和授权漏洞
m pip install --upgrade route-detect 安装完成后,我们可以使用下列命令检测route-detect是否安装成功: $ echo 'print(1 == 1)' | semgrep 工具使用 route-detect提供了routes命令并使用semgrep来搜索路由信息。 使用which子命令可以将semgrep指向正确的Web应用程序规则: $ semgrep --config $(routes which django) path/to/django/code 使用viz 子命令可以在浏览器中可视化查看路由信息: $ semgrep --json --config $(routes which django) --output routes.json path/to/django /code $ routes viz --browser routes.json 如果你不确定目标Web应用程序所使用的框架,可以使用all ID检索和查看: $ semgrep --json --config
95910编辑于 2024-04-01 - 来自专栏网络安全技术点滴分享
30条新Semgrep规则发布:涵盖Ansible、Java、Kotlin和Shell脚本等场景
新规则概览我们发布了30条针对Ansible剧本、Java/Kotlin代码、Shell脚本和Docker Compose配置文件的Semgrep规则。 Semgrep进阶功能解析通用模式(Generic Mode)优势:支持任意文本搜索,适用于非常规格式(如Jinja模板、NGINX配置)局限:可能产生误报(如匹配注释内容),缺乏语义理解案例:ssh-disable-host-key-checking +'使用方式执行审计命令:semgrep scan --config p/trailofbits /path/to/code延伸应用我们曾将Semgrep应用于:机器学习管道安全审计Goroutine泄漏检测
36300编辑于 2025-08-18 - 来自专栏Juicedata
小团队如何妙用 JuiceFS
Trivy 是扫镜像, Semgrep 则是扫代码的, 需要定期更新用于扫描的规则文件. 所以轮到 JuiceFS 出场了: # ref: https://semgrep.dev/docs/semgrep-ci/sample-ci-configs/#gitlab-ci semgrep: image: semgrep-agent:v1 script: - semgrep-agent variables: SEMGREP_RULES: >- # more at semgrep.dev /explore /jfs/semgrep/security-audit.yaml /jfs/semgrep/secrets.yaml /jfs/semgrep/ci.yaml /jfs/semgrep/python.yaml /jfs/semgrep/bandit.yaml rules: - if: $CI_MERGE_REQUEST_IID
79920编辑于 2022-04-25 - 来自专栏绿盟科技研究通讯
洞见RSA 2023:所有开发者都应该知道的5个开源安全工具
通常包括: OWASP十大安全风险 CWE 25个最常见漏洞 机密信息 自定义规则(例如身份认证/授权信息等) 最终从如下候选工具集中,选出了Semgrep。 图1 代码扫描工具候选集 Semgrep的规则整合了很多的安全工具(如Gitleaks,Findsecbugs, Gosec等),而且还支持超过30种语言。 Semgrep 有一个比较大的社区,贡献者也比较活跃。 图2 Semgrep 支持的语言列表 如下图所示,便是用Semgrep来扫描代码,可以看到它的结果里显示src/test.php存在eval($arg)这行代码,而这行代码存在命令注入漏洞: 图3 Semgrep扫描结果 依赖检查 依赖检查主要就是用于发现项目代码所依赖的具有漏洞的组件。
1.5K31编辑于 2023-08-31 - 来自专栏FreeBuf
如何使用DWN在Docker中进行渗透测试
tools/dwn/plans/cme.yml │ │ netcat-reverse │ /tools/dwn/plans/netcat-reverse.yml │ │ semgrep-sec │ /tools/dwn/plans/semgrep-sec.yml │ │ semgrep-ci │ ~/.dwn/plans/semgrep-ci.yml
1.3K20发布于 2021-05-20 - 来自专栏安全性测试
常见安全测试工具对比与选型
DevSecOps 集成,提供风险评分与修复建议开发流程嵌入SemgrepPython, Go, JS 等轻量、快速,支持自定义规则安全规则自定义,开发侧检测 选型建议: 小型项目推荐 SonarQube + Semgrep 按项目生命周期选型阶段推荐工具开发阶段SonarQube、Semgrep、Snyk构建阶段Dependency-Check、SCA 工具测试阶段ZAP、Burp Suite、AFL部署前AppScan、 按业务场景选型场景工具组合推荐Web应用系统SAST + DAST + SCA + IASTAPI / 微服务系统Postman + Burp Suite + Semgrep + IASTDevOps流水线 GitHub Actions + Snyk + Semgrep + ZAP云原生/容器环境Trivy + JFrog Xray + Aqua Security高安全等级系统模糊测试 + 静态分析 + 手工代码审计 按组织成熟度选型成熟度工具策略初创团队以开源为主:ZAP、SonarQube、Dependency-Check中型团队引入 CI 工具与自动扫描:Snyk、Semgrep、Burp Pro大型企业商业化平台集成
1.4K20编辑于 2025-07-17 - 来自专栏FreeBuf
Sekiryu:一款针对Ghidra Headless模式的综合性安全工具
Headless模式自动化任务: 2、脚本代码库/管理: 3、灵活的输入选项: 可用脚本 1、基于模式识别实现的漏洞检测脚本:利用工具的脚本来识别正在分析的代码库中是否存在潜在的安全漏洞; 2、SemGrep 漏洞搜索脚本:工具支持使用简单的规则和SemGrep来检测C/C++伪代码中的漏洞; 3、自动伪代码生成脚本:在Ghidra的Headless模式下自动生成伪代码,此功能有助于理解和记录代码逻辑,而无需手动干预 该工具包提供了数据可视化功能,以帮助我们识别代码库中的模式、依赖项和异常; 工具要求 在使用该项目之前,我们还需要提前安装并配置好下列工具组件: 1、Ghidra 2、Java 3、BinExport(可选) 4、SemGrep action="store_true") 工具使用演示 演示视频: https://bushido-sec.com/wp-content/uploads/2023/06/SekiryuV2RElease-SemGrep.mp4
70510编辑于 2023-11-24 - 来自专栏CNCF
KEDA安全审计结果
工具更新和安全状况改进 引入semgrep 作为工具[5](与 GitHub 集成),启用所有 golang 规则 + https://github.com/dgryski/semgrep-go规则,以及 trailofbits/publications [4] 弃用政策: https://github.com/kedacore/governance/blob/main/DEPRECATIONS.md [5] semgrep
1.7K30编辑于 2023-02-12 - 来自专栏PHP技术大全
聚合型代码审计工具QingScan使用实践
202201091457267.png] 搭建起来之后,进入控制台中看了下QingScan的功能列表,发现除了公众号介绍的黑盒扫描功能外其实还有不少功能,我比较喜欢的是里面的白盒审计功能,里面集成了fortify、semgrep 3.3 semgrep扫描结果 往详情页下滚动鼠标,还可以看到semgrep对项目的扫描结果,如下图所示 [20220109125717.png] 同样展示了漏洞类型、危害等级、执行位置、以及审核状态等信息
84530编辑于 2022-01-09 - 来自专栏PHP技术大全
开源 Swallow 代码审计系统体验
最近在哔哩哔哩看 到Swallow 代码审计系统的宣传,发现功能比较适合我目前的工作需要,安装使用了一下,简单做了一个笔记,分享给有需要的朋友.底层架构为蜻蜓编排系统,墨菲SCA,fortify,SemGrep fortify扫描出来的漏洞,图片点击查看详情,能看到污点参数的入口,还有执行的位置,如下图所示图片fortify的报告是英文版本,不过也都是一些常见的词汇,用这到没啥影响.查看危险函数危险函数其实是通过semgrep
1.2K00编辑于 2023-03-28 - 来自专栏腾讯技术工程官方号的专栏
安全左移理念,鹅厂 DevSecOps 如何实践?
2.2.1 Semgrep Semgrep 是一款基于 Facebook 开源 SAST 工具 pfff 中的 sgrep 组件开发的开源 SAST 工具,目前由安全公司 r2c 统一开发维护,提供强于 其核心技术原理可以用下面这张图概述: Semgrep 支持两种类型的代码模式匹配。 而运行如下 semgrep 命令,即可基于 AST 搜索,实现更精准的匹配。其中 ... 是 semgrep 提供的代码模式匹配语法 —— 省略号运算符(Ellipsis operator),用于代表若干参数、语句或字符: semgrep -e "strcpy(...)" 轻量级开源 SAST 工具 semgrep 分析 腾讯研发安全团队 腾讯公司内部与自研业务贴合最紧密的一线安全工程团队之一。
1.2K60发布于 2021-05-31 - 来自专栏PHP技术大全
代码审计系统 Swallow 开发回顾
fortify工具,再到后来又觉得fortify的扫描太慢影响审计效率,再后来就想着把fortify集成到自己的业务系统中去 最近几年安全行业发展的很快,以前少见的组件安全产品也多了起来,可以自定义扫描规则的semgrep 规则检索 一些结合业务方面的漏洞,可能需要编写对应检查规则,因此需要选择一个比较容易自定义规则的代码扫描器,有两种选择 semgrep和CodeQL,个人认为semgrep更加简单易用,因此选择了它 组件漏洞
65830编辑于 2023-04-04 - 来自专栏FreeBuf
Grepmarx:一款功能强大的应用程序源代码静态分析平台
支持多种框架:Spring、Laravel、Symfony、Django、Flask、Node.js、jQuery、Express、Angular; 3、已包含1600+现有的分析规则; 4、支持使用Semgrep 语句轻松扩展分析规则:https://semgrep.dev/editor; 5、支持管理规则包中的规则以定制代码扫描; Grepmarx提供了以下SCA(软件组成分析)功能: 1、支持多种包依赖格式:
55110编辑于 2023-08-08 - 来自专栏PHP技术大全
开源 Swallow 代码审计系统体验
底层架构为蜻蜓编排系统,墨菲SCA,fortify,SemGrep,hema 项目地址:https://github.com/StarCrossPortal/swallow 安装与使用视频教程:https 查看危险函数 危险函数其实是通过semgrep实现的危险规则检测,比如当调用一些敏感函数,会在这里出现;当然出现的其实也不仅仅是危险的函数,可能还会有一些其他的规则 查看详情之后,这里会看到详细的漏洞信息
1.1K10编辑于 2023-03-31 - 来自专栏C博文
软件开发新范式:基于LLM的代码生成与人工校验协同工作流设计
100并发请求 stressTest(100, () -> cartService.deduct(itemId)); } 工具链组合: DeepSeek-VLM:可视化代码逻辑流 Semgrep 工具链推荐清单 类别 推荐工具 协同作用 提示词优化 LangChain, PromptFlow 需求→机器指令翻译 静态分析 Semgrep, CodeQL 逻辑陷阱预检 动态防护 Lightrun,
60010编辑于 2025-07-15 - 来自专栏FreeBuf
如何使用njsscan识别Node.JS应用中的不安全代码
该工具使用了libsast的简单模式匹配器和语法感知语义代码模式搜索工具semgrep实现其功能。 github.com/ajinabraham/njsscan 参考资料 https://github.com/ajinabraham/libsast https://github.com/returntocorp/semgrep
1.6K10编辑于 2022-04-11
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号