首页
/ Semgrep规则编写:解决"缺少正向匹配项"错误的技术实践

Semgrep规则编写:解决"缺少正向匹配项"错误的技术实践

2025-05-20 06:39:16作者:鲍丁臣Ursa
semgrep
Lightweight static analysis for many languages. Find bug variants with patterns that look like source code.
项目地址:https://gitcode.com/GitHub_Trending/se/semgrep

在Semgrep规则开发过程中,开发者经常会遇到"you need at least one positive term"的错误提示。本文将通过一个实际案例,深入分析该问题的成因及解决方案,帮助开发者掌握Semgrep规则编写的核心要点。

问题现象

当开发者尝试编写如下C#规则时,会遇到规则解析错误:

rules:
  - id: test
    languages: [csharp]
    severity: ERROR
    message: test
    patterns:
      - pattern-either:
        - patterns:
          - pattern-inside: |
              [$HTTPMETHOD(...)]
              public $RET $FOO(...) {
                  ...
              }
      - patterns:
        - pattern-not: |
              [$HTTPMETHOD(...)]
              public $RET $FOO(...) {
                  ...
                  if (!await Test(...))
                  ...
              }
      - metavariable-regex:
          metavariable: "$HTTPMETHOD"
          regex: "Http(Get|Post|Delete|Patch|Put)"
    path: .*\.cs

系统会报错提示"至少需要一个正向匹配项(not just negations or conditions)"。

问题根源分析

这个错误源于Semgrep的模式匹配逻辑要求:

  1. 正向匹配优先原则:Semgrep要求每个规则必须包含至少一个正向匹配模式(pattern或pattern-inside),不能仅包含否定模式(pattern-not)或条件判断

  2. 模式组合逻辑:在patterns块中,所有子模式默认采用逻辑AND关系,系统需要先找到至少一个正向匹配范围

  3. pattern-either的特殊性:pattern-either要求所有子模式都必须是正向的,不能直接包含否定模式

解决方案演进

初始方案的问题

开发者最初的意图是:

  • 匹配所有HTTP方法注解的控制器方法
  • 排除包含特定条件检查(!await Test(...))的方法
  • 限制HTTP方法为特定类型(HttpGet/Post等)

但直接将pattern-not放在顶层patterns中违反了正向匹配原则。

改进方案一:简化结构

最简单的解决方案是移除不必要的嵌套:

patterns:
  - pattern-inside: |
        [$HTTPMETHOD(...)]
        public $RET $FOO(...) {
            ...
        }
  - pattern-not: |
        [$HTTPMETHOD(...)]
        public $RET $FOO(...) {
            ...
            if (!await Test(...))
            ...
        }
  - metavariable-regex:
      metavariable: "$HTTPMETHOD"
      regex: "Http(Get|Post|Delete|Patch|Put)"

这种结构清晰表达了:

  1. 先匹配控制器方法结构
  2. 再排除包含特定条件判断的方法
  3. 最后验证HTTP方法类型

改进方案二:复杂场景处理

当需要更复杂的匹配逻辑时,如:

  • 对排除模式中的特定函数名进行正则验证
  • 保留pattern-either的扩展性

可采用以下结构:

patterns:
  - pattern-inside: |
        [$HTTPMETHOD(...)]
        public $RET $FOO(...) {
            ...
        }
  - patterns:
    - pattern-not: |
          [$HTTPMETHOD(...)]
          public $RET $FOO(...) {
              ...
              if (!await $FUNC(...))
              ...
          }
    - metavariable-regex:
        metavariable: "$FUNC"
        regex: "Can.*"
  - metavariable-regex:
      metavariable: "$HTTPMETHOD"
      regex: "Http(Get|Post|Delete|Patch|Put)"

这种结构的关键点:

  1. 顶层保留正向的pattern-inside
  2. 将pattern-not与相关的metavariable-regex组合在子patterns中
  3. 保持HTTP方法验证在顶层

最佳实践总结

  1. 正向匹配先行:每个规则或模式组合中确保至少一个正向匹配项
  2. 合理嵌套结构:将相关的否定模式与它的条件验证放在同一patterns块中
  3. 模式组合逻辑
    • 顶层patterns是AND关系
    • pattern-either内是OR关系
  4. 渐进式验证:先匹配大范围结构,再逐步添加限定条件

通过理解这些原则,开发者可以构建出既精确又灵活的Semgrep规则,有效实现代码审计和安全检查的目标。

semgrep
Lightweight static analysis for many languages. Find bug variants with patterns that look like source code.
项目地址:https://gitcode.com/GitHub_Trending/se/semgrep
登录后查看全文
热门项目推荐
相关项目推荐

项目优选

收起
kernelkernel
deepin linux kernel
C
27
11
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
531
3.74 K
kernelkernel
openEuler内核是openEuler操作系统的核心,既是系统性能与稳定性的基石,也是连接处理器、设备与服务的桥梁。
C
336
178
ops-mathops-math
本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
886
596
pytorchpytorch
Ascend Extension for PyTorch
Python
340
403
flutter_flutterflutter_flutter
暂无简介
Dart
772
191
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
12
1
agent-studioagent-studio
openJiuwen agent-studio提供零码、低码可视化开发和工作流编排,模型、知识库、插件等各资源管理能力
TSX
986
247
Cangjie-ExamplesCangjie-Examples
本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
Cangjie
416
4.21 K
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
JavaScript
303
355