30 条新 Semgrep 规则发布：涵盖 Ansible、Java、Kotlin 和 Shell 脚本等场景

新规则概览

我们发布了 30 条针对 Ansible 剧本、Java/Kotlin 代码、Shell 脚本和 Docker Compose 配置文件的 Semgrep 规则。这些规则可用于审计以下常见安全问题：

完整规则列表涵盖未加密网络传输、SSL 验证禁用、命令行工具不安全标志等问题。

Semgrep 进阶功能解析

通用模式（Generic Mode）

• 优势：支持任意文本搜索，适用于非常规格式（如 Jinja 模板、NGINX 配置）

• 局限：可能产生误报（如匹配注释内容），缺乏语义理解

• 案例：ssh-disable-host-key-checking规则可跨 Bash 脚本、Dockerfile 和 CI 配置检测 SSH 主机密钥验证禁用

YAML 支持

• 应用场景：覆盖 Kubernetes、GitHub Actions、Ansible 等主流 YAML 格式配置

• 规则示例：port-all-interfaces规则通过正则表达式检测非回环地址绑定：

  metavariable-regex:    metavariable: $PORT    regex: '^(?!127.\d{1,3}.\d{1,3}.\d{1,3}:).+'

使用方式

执行审计命令：

semgrep scan --config p/trailofbits /path/to/code

延伸应用

我们曾将 Semgrep 应用于：

• 机器学习管道安全审计

• Goroutine 泄漏检测

• Apollo GraphQL 服务器加固

提示：如需定制规则，可联系 Trail of Bits 团队。所有规则已加入公开的CodeQL查询库。更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）公众号二维码

办公AI智能小助手