宣布Trail of Bits与Semgrep建立合作伙伴关系 - Trail of Bits博客

Trail of Bits
2024年9月19日
semgrep, testing-handbook

在Trail of Bits，我们致力于与更广泛的安全社区分享和开发用于安全评估的工具与资源。我们观察到许多客户未能充分发挥Semgrep的潜力，甚至完全未使用该工具。为弥合这一差距并推动更广泛的应用，我们的CEO Dan Guido与Semgrep团队展开了讨论。通过这些讨论，我们确定了双方专业能力可相互补充的领域。我们很高兴宣布与Semgrep建立新的合作伙伴关系，这一合作将使我们能更快地为客户提供Semgrep的高级功能。

在Semgrep，我们非常兴奋能与Trail of Bits合作。他们在安全工程和研究方面的严谨方法，直接补充了我们专注于在开发流程中嵌入安全编码实践的工作。他们在识别和缓解漏洞方面的专业知识，与我们提供精确且可操作的防护措施的努力高度契合，使团队能够通过设计生产安全软件。
—Daghan Altas, Semgrep首席营收官

但为什么选择Semgrep？

就像机械师拥有自己的工作工具箱一样，工程师也是如此。我们在每次项目中使用一套辅助手动测试的工具，但Semgrep是我们应用安全团队在审计代码库时最先部署的工具之一。它帮助我们无需构建目标代码即可发现低复杂度漏洞和特定代码模式。其更高级的功能允许我们策略性地忽略部分代码并编写自定义规则。在评估过程中，我们还会培训客户使用Semgrep及其他测试工具/方法。

我们不仅鼓励客户在测试策略中使用Semgrep——我们相信它对任何开发团队都是极具价值的工具。

Semgrep资源

由于我们的团队在客户项目和研究工作中频繁使用Semgrep，我们对其功能有了深入了解。我们通过博客文章分享见解，涵盖自定义规则开发、保护机器学习项目以及漏洞发现等主题。我们还编写了全面的《测试手册》，其中整章专门介绍Semgrep。以下是我们部分Semgrep资源与研究：

• 关于Semgrep的通用资源
• 宣布推出Trail of Bits测试手册
• 《Trail of Bits测试手册：Semgrep章节》
• Semgrep入门网络研讨会
• 如何向组织引入Semgrep
• 详细的Semgrep使用案例
• 30条新Semgrep规则：Ansible、Java、Kotlin、Shell脚本等
• 使用Semgrep保护Apollo GraphQL服务器
• 使用Semgrep保护机器学习项目
• 使用Semgrep发现Goroutine泄漏

如果您有兴趣了解更多关于使用Semgrep和其他定制工具在整个SDLC中增强应用程序安全性的信息，我们随时提供帮助。请联系我们讨论如何为您的团队提供定制化培训。

如果您喜欢这篇文章，请分享至：
Twitter | LinkedIn | GitHub | Mastodon | Hacker News

页面内容
但为什么选择Semgrep？ | Semgrep资源 | 近期文章
使用Deptective调查依赖项 | 做好准备，AIxCC评分轮已开始！ | 使智能合约超越私钥风险成熟化 | Go解析器中意外的安全陷阱 | 我们审查首批DKLs学到的经验 | Silence Laboratories的23个库
© 2025 Trail of Bits.
使用Hugo和Mainroad主题生成。