首页
/ Semgrep规则编写:解决"缺少正向匹配项"错误的技术实践

Semgrep规则编写:解决"缺少正向匹配项"错误的技术实践

2025-05-20 17:03:02作者:鲍丁臣Ursa

在Semgrep规则开发过程中,开发者经常会遇到"you need at least one positive term"的错误提示。本文将通过一个实际案例,深入分析该问题的成因及解决方案,帮助开发者掌握Semgrep规则编写的核心要点。

问题现象

当开发者尝试编写如下C#规则时,会遇到规则解析错误:

rules:
  - id: test
    languages: [csharp]
    severity: ERROR
    message: test
    patterns:
      - pattern-either:
        - patterns:
          - pattern-inside: |
              [$HTTPMETHOD(...)]
              public $RET $FOO(...) {
                  ...
              }
      - patterns:
        - pattern-not: |
              [$HTTPMETHOD(...)]
              public $RET $FOO(...) {
                  ...
                  if (!await Test(...))
                  ...
              }
      - metavariable-regex:
          metavariable: "$HTTPMETHOD"
          regex: "Http(Get|Post|Delete|Patch|Put)"
    path: .*\.cs

系统会报错提示"至少需要一个正向匹配项(not just negations or conditions)"。

问题根源分析

这个错误源于Semgrep的模式匹配逻辑要求:

  1. 正向匹配优先原则:Semgrep要求每个规则必须包含至少一个正向匹配模式(pattern或pattern-inside),不能仅包含否定模式(pattern-not)或条件判断

  2. 模式组合逻辑:在patterns块中,所有子模式默认采用逻辑AND关系,系统需要先找到至少一个正向匹配范围

  3. pattern-either的特殊性:pattern-either要求所有子模式都必须是正向的,不能直接包含否定模式

解决方案演进

初始方案的问题

开发者最初的意图是:

  • 匹配所有HTTP方法注解的控制器方法
  • 排除包含特定条件检查(!await Test(...))的方法
  • 限制HTTP方法为特定类型(HttpGet/Post等)

但直接将pattern-not放在顶层patterns中违反了正向匹配原则。

改进方案一:简化结构

最简单的解决方案是移除不必要的嵌套:

patterns:
  - pattern-inside: |
        [$HTTPMETHOD(...)]
        public $RET $FOO(...) {
            ...
        }
  - pattern-not: |
        [$HTTPMETHOD(...)]
        public $RET $FOO(...) {
            ...
            if (!await Test(...))
            ...
        }
  - metavariable-regex:
      metavariable: "$HTTPMETHOD"
      regex: "Http(Get|Post|Delete|Patch|Put)"

这种结构清晰表达了:

  1. 先匹配控制器方法结构
  2. 再排除包含特定条件判断的方法
  3. 最后验证HTTP方法类型

改进方案二:复杂场景处理

当需要更复杂的匹配逻辑时,如:

  • 对排除模式中的特定函数名进行正则验证
  • 保留pattern-either的扩展性

可采用以下结构:

patterns:
  - pattern-inside: |
        [$HTTPMETHOD(...)]
        public $RET $FOO(...) {
            ...
        }
  - patterns:
    - pattern-not: |
          [$HTTPMETHOD(...)]
          public $RET $FOO(...) {
              ...
              if (!await $FUNC(...))
              ...
          }
    - metavariable-regex:
        metavariable: "$FUNC"
        regex: "Can.*"
  - metavariable-regex:
      metavariable: "$HTTPMETHOD"
      regex: "Http(Get|Post|Delete|Patch|Put)"

这种结构的关键点:

  1. 顶层保留正向的pattern-inside
  2. 将pattern-not与相关的metavariable-regex组合在子patterns中
  3. 保持HTTP方法验证在顶层

最佳实践总结

  1. 正向匹配先行:每个规则或模式组合中确保至少一个正向匹配项
  2. 合理嵌套结构:将相关的否定模式与它的条件验证放在同一patterns块中
  3. 模式组合逻辑
    • 顶层patterns是AND关系
    • pattern-either内是OR关系
  4. 渐进式验证:先匹配大范围结构,再逐步添加限定条件

通过理解这些原则,开发者可以构建出既精确又灵活的Semgrep规则,有效实现代码审计和安全检查的目标。

登录后查看全文
热门项目推荐
相关项目推荐