首页
/ Semgrep规则编写:解决"缺少正向匹配项"错误的技术实践

Semgrep规则编写:解决"缺少正向匹配项"错误的技术实践

2025-05-20 06:39:16作者:鲍丁臣Ursa
semgrep
Lightweight static analysis for many languages. Find bug variants with patterns that look like source code.
项目地址:https://gitcode.com/GitHub_Trending/se/semgrep

在Semgrep规则开发过程中,开发者经常会遇到"you need at least one positive term"的错误提示。本文将通过一个实际案例,深入分析该问题的成因及解决方案,帮助开发者掌握Semgrep规则编写的核心要点。

问题现象

当开发者尝试编写如下C#规则时,会遇到规则解析错误:

rules:
  - id: test
    languages: [csharp]
    severity: ERROR
    message: test
    patterns:
      - pattern-either:
        - patterns:
          - pattern-inside: |
              [$HTTPMETHOD(...)]
              public $RET $FOO(...) {
                  ...
              }
      - patterns:
        - pattern-not: |
              [$HTTPMETHOD(...)]
              public $RET $FOO(...) {
                  ...
                  if (!await Test(...))
                  ...
              }
      - metavariable-regex:
          metavariable: "$HTTPMETHOD"
          regex: "Http(Get|Post|Delete|Patch|Put)"
    path: .*\.cs

系统会报错提示"至少需要一个正向匹配项(not just negations or conditions)"。

问题根源分析

这个错误源于Semgrep的模式匹配逻辑要求:

  1. 正向匹配优先原则:Semgrep要求每个规则必须包含至少一个正向匹配模式(pattern或pattern-inside),不能仅包含否定模式(pattern-not)或条件判断

  2. 模式组合逻辑:在patterns块中,所有子模式默认采用逻辑AND关系,系统需要先找到至少一个正向匹配范围

  3. pattern-either的特殊性:pattern-either要求所有子模式都必须是正向的,不能直接包含否定模式

解决方案演进

初始方案的问题

开发者最初的意图是:

  • 匹配所有HTTP方法注解的控制器方法
  • 排除包含特定条件检查(!await Test(...))的方法
  • 限制HTTP方法为特定类型(HttpGet/Post等)

但直接将pattern-not放在顶层patterns中违反了正向匹配原则。

改进方案一:简化结构

最简单的解决方案是移除不必要的嵌套:

patterns:
  - pattern-inside: |
        [$HTTPMETHOD(...)]
        public $RET $FOO(...) {
            ...
        }
  - pattern-not: |
        [$HTTPMETHOD(...)]
        public $RET $FOO(...) {
            ...
            if (!await Test(...))
            ...
        }
  - metavariable-regex:
      metavariable: "$HTTPMETHOD"
      regex: "Http(Get|Post|Delete|Patch|Put)"

这种结构清晰表达了:

  1. 先匹配控制器方法结构
  2. 再排除包含特定条件判断的方法
  3. 最后验证HTTP方法类型

改进方案二:复杂场景处理

当需要更复杂的匹配逻辑时,如:

  • 对排除模式中的特定函数名进行正则验证
  • 保留pattern-either的扩展性

可采用以下结构:

patterns:
  - pattern-inside: |
        [$HTTPMETHOD(...)]
        public $RET $FOO(...) {
            ...
        }
  - patterns:
    - pattern-not: |
          [$HTTPMETHOD(...)]
          public $RET $FOO(...) {
              ...
              if (!await $FUNC(...))
              ...
          }
    - metavariable-regex:
        metavariable: "$FUNC"
        regex: "Can.*"
  - metavariable-regex:
      metavariable: "$HTTPMETHOD"
      regex: "Http(Get|Post|Delete|Patch|Put)"

这种结构的关键点:

  1. 顶层保留正向的pattern-inside
  2. 将pattern-not与相关的metavariable-regex组合在子patterns中
  3. 保持HTTP方法验证在顶层

最佳实践总结

  1. 正向匹配先行:每个规则或模式组合中确保至少一个正向匹配项
  2. 合理嵌套结构:将相关的否定模式与它的条件验证放在同一patterns块中
  3. 模式组合逻辑
    • 顶层patterns是AND关系
    • pattern-either内是OR关系
  4. 渐进式验证:先匹配大范围结构,再逐步添加限定条件

通过理解这些原则,开发者可以构建出既精确又灵活的Semgrep规则,有效实现代码审计和安全检查的目标。

semgrep
Lightweight static analysis for many languages. Find bug variants with patterns that look like source code.
项目地址:https://gitcode.com/GitHub_Trending/se/semgrep
登录后查看全文
热门项目推荐
相关项目推荐

项目优选

收起
docsdocs
暂无描述
Dockerfile
731
4.73 K
pytorchpytorch
Ascend Extension for PyTorch
Python
609
786
ops-mathops-math
本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
1 K
1.01 K
kernelkernel
openEuler内核是openEuler操作系统的核心,既是系统性能与稳定性的基石,也是连接处理器、设备与服务的桥梁。
C
433
392
MindSpeed-MMMindSpeed-MM
华为昇腾面向大规模分布式训练的多模态大模型套件,支撑多模态生成、多模态理解。
Python
145
237
atomcodeatomcode
Claude Code 的开源替代方案。连接任意大模型,编辑代码,运行命令,自动验证 — 全自动执行。用 Rust 构建,极致性能。 | An open-source alternative to Claude Code. Connect any LLM, edit code, run commands, and verify changes — autonomously. Built in Rust for speed. Get Started
Rust
1.15 K
148
flutter_flutterflutter_flutter
暂无简介
Dart
983
250
Oohos_react_native
React Native鸿蒙化仓库
C++
347
401
MindSpeed-LLMMindSpeed-LLM
昇腾LLM分布式训练框架
Python
166
197
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
1.67 K
985