Trail of Bits与Semgrep达成技术合作,强化代码安全扫描能力

Trail of Bits宣布与Semgrep建立技术合作伙伴关系,双方将结合各自在安全工程和代码扫描领域的专业优势,通过定制规则开发、漏洞挖掘和机器学习项目加固等技术方案,提升开发流程中的安全编码实践。

宣布Trail of Bits与Semgrep的合作关系 - Trail of Bits博客

在Trail of Bits,我们的目标是与更广泛的安全社区分享和开发用于安全评估的工具和资源。我们观察到许多客户未能充分发挥Semgrep的潜力,甚至完全未使用该工具。为弥补这一差距并鼓励更广泛的应用,我们的CEO Dan Guido与Semgrep团队展开了讨论。通过这些讨论,我们确定了双方专业知识的互补领域:我们的专长可以增强Semgrep的能力,反之亦然。我们很高兴宣布与Semgrep建立新的合作伙伴关系,这一合作源于这些对话。此次协作使我们能够更快地为客户提供Semgrep的高级功能。

在Semgrep,我们非常高兴与Trail of Bits合作,他们严谨的安全工程和研究方法直接补充了我们专注于在开发流程中嵌入安全编码实践的努力。他们在识别和缓解漏洞方面的专业知识与我们提供精确且可操作的防护措施的努力相一致,使团队能够通过设计生产安全软件。- Daghan Altas, Semgrep CRO

但为什么选择Semgrep?

就像机械师有他们的工具箱一样,工程师也是如此。我们在每次参与中使用一套工具来辅助手动测试。但Semgrep是我们的应用安全团队在审计代码库时最先实施的工具之一。它帮助我们找到低复杂度的错误和特定的代码模式,而无需构建目标代码。其更高级的功能允许我们战略性地忽略部分代码并编写自定义规则。我们还在评估期间培训客户使用Semgrep和其他测试工具/方法论。

我们不仅鼓励客户在测试策略中使用Semgrep——我们认为它对任何开发团队来说都是一个极其有价值的工具。

Semgrep资源

由于我们的团队在客户参与和研究中频繁使用Semgrep,我们对其功能有了深入的了解。我们通过博客文章分享我们的见解,涵盖了我们开发的自定义规则、保护机器学习项目以及发现错误等主题。我们还有一个全面的测试手册,其中整个章节专门介绍Semgrep。以下是我们的一些Semgrep资源和研究:

  • 关于Semgrep的一般资源
  • 宣布Trail of Bits测试手册
  • Trail of Bits测试手册:Semgrep章节
  • Semgrep介绍网络研讨会
  • 如何向组织引入Semgrep
  • 详细的Semgrep用例
  • 30条新的Semgrep规则:Ansible、Java、Kotlin、shell脚本等
  • 使用Semgrep保护Apollo GraphQL服务器
  • 使用Semgrep保护机器学习
  • 使用Semgrep发现goroutine泄漏

如果您有兴趣了解更多关于使用Semgrep和其他自定义工具在整个SDLC中增强应用程序安全性的信息,我们随时提供帮助。请联系我们讨论如何为您的团队提供定制培训。

如果您喜欢这篇文章,请分享: Twitter LinkedIn GitHub Mastodon Hacker News

页面内容

但为什么选择Semgrep? Semgrep资源 近期文章 Trail of Bits的Buttercup在AIxCC挑战赛中获得第二名 Buttercup现已开源! AIxCC决赛:记录表 攻击者的提示注入工程:利用GitHub Copilot 作为新员工发现NVIDIA Triton中的内存损坏 © 2025 Trail of Bits。 使用Hugo和Mainroad主题生成。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次