宣布Trail of Bits与Semgrep的合作关系 - Trail of Bits博客

在Trail of Bits，我们致力于与更广泛的安全社区分享和开发用于安全评估的工具与资源。我们注意到许多客户未能充分发挥Semgrep的潜力，甚至完全未使用该工具。为弥合这一差距并推动更广泛的应用，我们的CEO Dan Guido与Semgrep团队启动了磋商。通过这些讨论，我们明确了双方优势互补的领域：我们的专业知识可增强Semgrep的能力，反之亦然。我们兴奋地宣布，基于这些交流诞生的全新合作伙伴关系将帮助我们更快地为客户提供Semgrep的先进功能。

Semgrep首席营收官Daghan Altas表示：“我们非常高兴与Trail of Bits合作，其严谨的安全工程研究方法直接补充了我们专注于在开发流程中嵌入安全编码实践的理念。他们在识别和缓解漏洞方面的专业经验与我们提供精确、可操作的防护措施的努力高度契合，使团队能够通过设计开发安全软件。”

但为什么选择Semgrep？

就像机械师需要工具箱一样，工程师也需要自己的工具套装。我们在每次项目中都使用一系列工具辅助手动测试，但Semgrep是应用安全团队审计代码库时首批部署的工具之一。它帮助我们无需构建目标代码即可发现低复杂度漏洞和特定代码模式，其更高级的功能允许我们策略性忽略部分代码并编写自定义规则。在评估过程中，我们还会培训客户使用Semgrep及其他测试工具/方法。我们不仅鼓励客户在测试策略中使用Semgrep——更认为它是任何开发团队都不可或缺的宝贵工具。

Semgrep资源

由于团队在客户项目和研究工作中频繁使用Semgrep，我们积累了丰富的实践经验。通过博客文章分享的见解涵盖自定义规则开发、机器学习项目安全防护和漏洞发现等主题。我们编写的《测试手册》还包含专门讨论Semgrep的完整章节。以下是我们部分Semgrep资源与研究：

• Semgrep通用资源介绍
• 《Trail of Bits测试手册》发布公告
• 测试手册：Semgrep章节详解
• Semgrep入门网络研讨会
• 如何向组织引入Semgrep
• 详细Semgrep使用案例
• 30条新Semgrep规则：支持Ansible、Java、Kotlin、Shell脚本等
• 使用Semgrep保护Apollo GraphQL服务器
• 用Semgrep强化机器学习安全
• 使用Semgrep发现Goroutine泄漏

如果您希望了解更多关于使用Semgrep和其他定制工具来增强应用程序在SDLC全周期安全性的信息，我们随时提供帮助。欢迎联系我们讨论为团队提供定制化培训的方案。

如果您喜欢本文，请分享至： Twitter / LinkedIn / GitHub / Mastodon / Hacker News

页面内容导航：但为什么选择Semgrep？ | Semgrep资源 | 近期文章
© 2025 Trail of Bits. 基于Hugo和Mainroad主题生成