Semgrep规则编写：解决"缺少正向匹配项"错误的技术实践

在Semgrep规则开发过程中，开发者经常会遇到"you need at least one positive term"的错误提示。本文将通过一个实际案例，深入分析该问题的成因及解决方案，帮助开发者掌握Semgrep规则编写的核心要点。

问题现象

当开发者尝试编写如下C#规则时，会遇到规则解析错误：

rules:
  - id: test
    languages: [csharp]
    severity: ERROR
    message: test
    patterns:
      - pattern-either:
        - patterns:
          - pattern-inside: |
              [$HTTPMETHOD(...)]
              public $RET $FOO(...) {
                  ...
              }
      - patterns:
        - pattern-not: |
              [$HTTPMETHOD(...)]
              public $RET $FOO(...) {
                  ...
                  if (!await Test(...))
                  ...
              }
      - metavariable-regex:
          metavariable: "$HTTPMETHOD"
          regex: "Http(Get|Post|Delete|Patch|Put)"
    path: .*\.cs

系统会报错提示"至少需要一个正向匹配项(not just negations or conditions)"。

问题根源分析

这个错误源于Semgrep的模式匹配逻辑要求：

1. 正向匹配优先原则：Semgrep要求每个规则必须包含至少一个正向匹配模式(pattern或pattern-inside)，不能仅包含否定模式(pattern-not)或条件判断

2. 模式组合逻辑：在patterns块中，所有子模式默认采用逻辑AND关系，系统需要先找到至少一个正向匹配范围

3. pattern-either的特殊性：pattern-either要求所有子模式都必须是正向的，不能直接包含否定模式

解决方案演进

初始方案的问题

开发者最初的意图是：

• 匹配所有HTTP方法注解的控制器方法
• 排除包含特定条件检查(!await Test(...))的方法
• 限制HTTP方法为特定类型(HttpGet/Post等)

但直接将pattern-not放在顶层patterns中违反了正向匹配原则。

改进方案一：简化结构

最简单的解决方案是移除不必要的嵌套：

patterns:
  - pattern-inside: |
        [$HTTPMETHOD(...)]
        public $RET $FOO(...) {
            ...
        }
  - pattern-not: |
        [$HTTPMETHOD(...)]
        public $RET $FOO(...) {
            ...
            if (!await Test(...))
            ...
        }
  - metavariable-regex:
      metavariable: "$HTTPMETHOD"
      regex: "Http(Get|Post|Delete|Patch|Put)"

这种结构清晰表达了：

1. 先匹配控制器方法结构
2. 再排除包含特定条件判断的方法
3. 最后验证HTTP方法类型

改进方案二：复杂场景处理

当需要更复杂的匹配逻辑时，如：

• 对排除模式中的特定函数名进行正则验证
• 保留pattern-either的扩展性

可采用以下结构：

patterns:
  - pattern-inside: |
        [$HTTPMETHOD(...)]
        public $RET $FOO(...) {
            ...
        }
  - patterns:
    - pattern-not: |
          [$HTTPMETHOD(...)]
          public $RET $FOO(...) {
              ...
              if (!await $FUNC(...))
              ...
          }
    - metavariable-regex:
        metavariable: "$FUNC"
        regex: "Can.*"
  - metavariable-regex:
      metavariable: "$HTTPMETHOD"
      regex: "Http(Get|Post|Delete|Patch|Put)"

这种结构的关键点：

1. 顶层保留正向的pattern-inside
2. 将pattern-not与相关的metavariable-regex组合在子patterns中
3. 保持HTTP方法验证在顶层

最佳实践总结

1. 正向匹配先行：每个规则或模式组合中确保至少一个正向匹配项
2. 合理嵌套结构：将相关的否定模式与它的条件验证放在同一patterns块中
3. 模式组合逻辑：
   • 顶层patterns是AND关系
   • pattern-either内是OR关系
4. 渐进式验证：先匹配大范围结构，再逐步添加限定条件

通过理解这些原则，开发者可以构建出既精确又灵活的Semgrep规则，有效实现代码审计和安全检查的目标。