Trail of Bits与Semgrep达成战略合作

Trail of Bits · 2024年9月19日
semgrep, testing-handbook

在Trail of Bits，我们致力于与更广泛的安全社区分享和开发在安全评估中使用的工具和资源。我们观察到许多客户未能充分发挥Semgrep的潜力，甚至完全未使用该工具。为弥合这一差距并鼓励更广泛的采用，我们的CEO Dan Guido与Semgrep团队展开了讨论。通过这些讨论，我们确定了双方专业知识的互补领域：我们的专长可以增强Semgrep的能力，反之亦然。我们很高兴宣布与Semgrep建立新的合作伙伴关系，这一合作源于这些对话。此次协作使我们能够更快地向客户提供Semgrep的高级功能。

在Semgrep，我们非常高兴与Trail of Bits合作，他们严谨的安全工程和研究方法直接补充了我们专注于在开发流程中嵌入安全编码实践的努力。他们在识别和缓解漏洞方面的专业知识与我们提供精确且可操作的防护措施的努力相一致，使团队能够通过设计生产安全软件。——Semgrep首席营收官Daghan Altas

但为什么选择Semgrep？

就像机械师有他们的工具箱一样，工程师也是如此。我们在每次参与中使用一套工具来辅助手动测试。但Semgrep是我们的应用安全团队在审计代码库时最先实施的工具之一。它帮助我们无需构建目标代码即可发现低复杂度错误和特定代码模式。其更高级的功能使我们能够战略性地忽略部分代码并编写自定义规则。我们还在评估期间培训客户使用Semgrep和其他测试工具/方法。

我们不仅鼓励客户在测试策略中使用Semgrep——我们认为它对任何开发团队来说都是一个极其有价值的工具。

Semgrep资源

由于我们的团队在客户参与和研究期间频繁使用Semgrep，我们对其功能有了深入了解。我们通过博客文章分享我们的见解，涵盖了我们开发的自定义规则、保护ML项目以及发现错误等主题。我们还拥有一本全面的测试手册，其中整个章节专门介绍Semgrep。以下是我们的一些Semgrep资源和研究：

关于Semgrep的通用资源
宣布Trail of Bits测试手册
Trail of Bits测试手册：Semgrep章节
Semgrep介绍网络研讨会
如何向组织引入Semgrep
详细的Semgrep用例
30条新Semgrep规则：Ansible、Java、Kotlin、shell脚本等
使用Semgrep保护Apollo GraphQL服务器
使用Semgrep保护机器学习
使用Semgrep发现goroutine泄漏

如果您有兴趣了解更多关于使用Semgrep和其他自定义工具在整个SDLC中增强应用程序安全性的信息，我们随时为您提供帮助。请联系我们讨论如何为您的团队提供定制培训。

如果您喜欢这篇文章，请分享： Twitter | LinkedIn | GitHub | Mastodon | Hacker News

近期文章

构建安全消息传递很难：对Bitchat安全辩论的细致看法
使用Deptective调查您的依赖项
做好准备，Buttercup，AIxCC的评分轮正在进行中！
使智能合约成熟超越私钥风险
Go解析器中意想不到的安全隐患