宣布Trail of Bits与Semgrep建立合作伙伴关系

Trail of Bits
2024年9月19日
semgrep, testing-handbook

在Trail of Bits，我们的目标是与更广泛的安全社区分享和开发在安全评估中使用的工具和资源。我们观察到，许多客户并未充分发挥Semgrep的潜力，甚至完全未使用该工具。为了弥合这一差距并鼓励更广泛的采用，我们的CEO Dan Guido与Semgrep团队展开了讨论。通过这些讨论，我们确定了双方专业知识的互补领域，能够共同提升Semgrep的能力。我们很高兴宣布与Semgrep建立新的合作伙伴关系，这一合作源于这些深入的交流。此次协作使我们能够更快地为客户提供Semgrep的高级功能。

在Semgrep，我们非常兴奋能与Trail of Bits合作，他们严谨的安全工程和研究方法直接补充了我们专注于在开发流程中嵌入安全编码实践的努力。他们在识别和缓解漏洞方面的专业知识与我们提供精确且可操作的防护措施的努力相一致，使团队能够通过设计生产安全软件。——Daghan Altas, Semgrep CRO

但为什么选择Semgrep？

就像机械师有自己的工具箱一样，工程师也是如此。我们在每次参与中都会使用一套工具来辅助手动测试。但Semgrep是我们的应用安全团队在审计代码库时最先实施的工具之一。它帮助我们无需构建目标代码即可发现低复杂度的错误和特定代码模式。其更高级的功能使我们能够战略性地忽略部分代码并编写自定义规则。我们还在评估期间培训客户使用Semgrep及其他测试工具/方法。

我们不仅鼓励客户在测试策略中使用Semgrep——我们认为它对任何开发团队来说都是一个极其有价值的工具。

Semgrep资源

由于我们的团队在客户参与和研究过程中频繁使用Semgrep，我们对其功能有了深入的了解。我们通过博客文章分享我们的见解，涵盖了我们开发的自定义规则、保护ML项目以及发现错误等主题。我们还拥有一本全面的测试手册，其中整个章节专门介绍Semgrep。以下是我们的一些Semgrep资源和研究：

• 关于Semgrep的通用资源
• 宣布Trail of Bits测试手册
• Trail of Bits测试手册：Semgrep章节
• Semgrep介绍网络研讨会
• 如何向组织引入Semgrep
• 详细的Semgrep用例
• 30条新Semgrep规则：Ansible、Java、Kotlin、shell脚本等
• 使用Semgrep保护Apollo GraphQL服务器
• 使用Semgrep保护机器学习
• 使用Semgrep发现goroutine泄漏

如果您有兴趣了解更多关于使用Semgrep和其他自定义工具在整个SDLC中增强应用程序安全性的信息，我们随时为您提供帮助。请联系我们，讨论如何为您的团队提供定制培训。

如果您喜欢这篇文章，请分享：
Twitter、LinkedIn、GitHub、Mastodon、Hacker News

页面内容
但为什么选择Semgrep？
Semgrep资源
近期文章
我们构建了MCP一直需要的安全层
利用废弃硬件中的零日漏洞
Inside EthCC[8]：成为智能合约审计员
使用Vendetect大规模检测代码复制
构建安全消息传递很难：对Bitchat安全辩论的细致看法
© 2025 Trail of Bits。
使用Hugo和Mainroad主题生成。