Semgrep规则编写：解决"缺少正向匹配项"错误的技术实践

2025-05-20 06:39:16作者：鲍丁臣Ursa

在Semgrep规则开发过程中，开发者经常会遇到"you need at least one positive term"的错误提示。本文将通过一个实际案例，深入分析该问题的成因及解决方案，帮助开发者掌握Semgrep规则编写的核心要点。

问题现象

当开发者尝试编写如下C#规则时，会遇到规则解析错误：

rules:
  - id: test
    languages: [csharp]
    severity: ERROR
    message: test
    patterns:
      - pattern-either:
        - patterns:
          - pattern-inside: |
              [$HTTPMETHOD(...)]
              public $RET $FOO(...) {
                  ...
              }
      - patterns:
        - pattern-not: |
              [$HTTPMETHOD(...)]
              public $RET $FOO(...) {
                  ...
                  if (!await Test(...))
                  ...
              }
      - metavariable-regex:
          metavariable: "$HTTPMETHOD"
          regex: "Http(Get|Post|Delete|Patch|Put)"
    path: .*\.cs

系统会报错提示"至少需要一个正向匹配项(not just negations or conditions)"。

问题根源分析

这个错误源于Semgrep的模式匹配逻辑要求：

正向匹配优先原则：Semgrep要求每个规则必须包含至少一个正向匹配模式(pattern或pattern-inside)，不能仅包含否定模式(pattern-not)或条件判断
模式组合逻辑：在patterns块中，所有子模式默认采用逻辑AND关系，系统需要先找到至少一个正向匹配范围
pattern-either的特殊性：pattern-either要求所有子模式都必须是正向的，不能直接包含否定模式

解决方案演进

初始方案的问题

开发者最初的意图是：

匹配所有HTTP方法注解的控制器方法
排除包含特定条件检查(!await Test(...))的方法
限制HTTP方法为特定类型(HttpGet/Post等)

但直接将pattern-not放在顶层patterns中违反了正向匹配原则。

改进方案一：简化结构

最简单的解决方案是移除不必要的嵌套：

patterns:
  - pattern-inside: |
        [$HTTPMETHOD(...)]
        public $RET $FOO(...) {
            ...
        }
  - pattern-not: |
        [$HTTPMETHOD(...)]
        public $RET $FOO(...) {
            ...
            if (!await Test(...))
            ...
        }
  - metavariable-regex:
      metavariable: "$HTTPMETHOD"
      regex: "Http(Get|Post|Delete|Patch|Put)"

这种结构清晰表达了：

先匹配控制器方法结构
再排除包含特定条件判断的方法
最后验证HTTP方法类型

改进方案二：复杂场景处理

当需要更复杂的匹配逻辑时，如：

对排除模式中的特定函数名进行正则验证
保留pattern-either的扩展性

可采用以下结构：

patterns:
  - pattern-inside: |
        [$HTTPMETHOD(...)]
        public $RET $FOO(...) {
            ...
        }
  - patterns:
    - pattern-not: |
          [$HTTPMETHOD(...)]
          public $RET $FOO(...) {
              ...
              if (!await $FUNC(...))
              ...
          }
    - metavariable-regex:
        metavariable: "$FUNC"
        regex: "Can.*"
  - metavariable-regex:
      metavariable: "$HTTPMETHOD"
      regex: "Http(Get|Post|Delete|Patch|Put)"

这种结构的关键点：

顶层保留正向的pattern-inside
将pattern-not与相关的metavariable-regex组合在子patterns中
保持HTTP方法验证在顶层

最佳实践总结

正向匹配先行：每个规则或模式组合中确保至少一个正向匹配项
合理嵌套结构：将相关的否定模式与它的条件验证放在同一patterns块中
模式组合逻辑：
- 顶层patterns是AND关系
- pattern-either内是OR关系
渐进式验证：先匹配大范围结构，再逐步添加限定条件

通过理解这些原则，开发者可以构建出既精确又灵活的Semgrep规则，有效实现代码审计和安全检查的目标。

semgrep

Lightweight static analysis for many languages. Find bug variants with patterns that look like source code.

项目地址：https://gitcode.com/GitHub_Trending/se/semgrep

登录后查看全文

Semgrep规则编写：解决"缺少正向匹配项"错误的技术实践

问题现象

问题根源分析

解决方案演进

初始方案的问题

改进方案一：简化结构

改进方案二：复杂场景处理

最佳实践总结

热门内容推荐

最新内容推荐

项目优选

Semgrep规则编写：解决"缺少正向匹配项"错误的技术实践

问题现象

问题根源分析

解决方案演进

初始方案的问题

改进方案一：简化结构

改进方案二：复杂场景处理

最佳实践总结

相关内容推荐

热门内容推荐

最新内容推荐

项目优选