Trail of Bits与Semgrep达成合作伙伴关系

Trail of Bits博客
2024年9月19日
semgrep, testing-handbook

在Trail of Bits，我们的目标是与更广泛的安全社区分享和开发在安全评估中使用的工具和资源。我们观察到，许多客户未能充分发挥Semgrep的潜力，甚至根本没有使用它。为了弥合这一差距并鼓励更广泛的采用，我们的首席执行官Dan Guido与Semgrep团队发起了讨论。通过这些讨论，我们确定了双方专业知识的互补领域，可以共同增强Semgrep的能力，反之亦然。我们很高兴宣布与Semgrep建立新的合作伙伴关系，这一合作源于这些对话。此次合作使我们能够更快地向客户提供Semgrep的高级功能。

在Semgrep，我们非常高兴与Trail of Bits合作，他们严谨的安全工程和研究方法直接补充了我们专注于在开发流程中嵌入安全编码实践的努力。他们在识别和缓解漏洞方面的专业知识与我们提供精确和可操作的防护措施的努力相一致，使团队能够通过设计生产安全软件。 —Daghan Altas, Semgrep首席营收官

但为什么选择Semgrep？

就像机械师有他们的工具箱一样，工程师也是如此。我们在每次参与中使用一套工具来辅助手动测试。但Semgrep是我们的应用安全团队在审计代码库时首先实施的工具之一。它帮助我们找到低复杂度的错误和特定的代码模式，而无需构建目标代码。其更高级的功能使我们能够战略性地忽略部分代码并编写自定义规则。我们还在评估期间培训客户使用Semgrep和其他测试工具/方法。

我们不仅鼓励客户在测试策略中使用Semgrep——我们认为它对任何开发团队来说都是一个极其有价值的工具。

Semgrep资源

由于我们的团队在客户参与和研究中频繁使用Semgrep，我们对其功能有了深入的了解。我们通过博客文章分享我们的见解，涵盖了我们开发的自定义规则、保护ML项目以及发现错误等主题。我们还有一个全面的测试手册，其中整个章节专门介绍Semgrep。以下是我们的一些Semgrep资源和研究：

• 关于Semgrep的一般资源
• 宣布Trail of Bits测试手册
• Trail of Bits测试手册：Semgrep章节
• Semgrep介绍网络研讨会
• 如何向组织引入Semgrep
• 详细的Semgrep用例
• 30条新的Semgrep规则：Ansible、Java、Kotlin、shell脚本等
• 使用Semgrep保护Apollo GraphQL服务器
• 使用Semgrep保护机器学习
• 使用Semgrep发现goroutine泄漏

如果您有兴趣了解更多关于使用Semgrep和其他自定义工具在整个SDLC中增强应用程序安全性的信息，我们随时为您提供帮助。请联系我们，讨论如何为您的团队提供量身定制的培训。

如果您喜欢这篇文章，请分享：
Twitter、LinkedIn、GitHub、Mastodon、Hacker News

页面内容
近期文章：

• 使用Deptective调查您的依赖项
• 系好安全带，Buttercup，AIxCC的评分回合正在进行中！
• 使您的智能合约超越私钥风险
• Go解析器中意外的安全陷阱
• 我们审查首批DKLs23库的收获
• Silence Laboratories的23个库

© 2025 Trail of Bits。
使用Hugo和Mainroad主题生成。