工具: https://github.com/returntocorp/semgrep
semgrep: v0.100.0
规则只支持自定义: https://semgrep.dev/docs/writing-rules/overview/ 参考链接编写规则yaml,并编写测试用例后测试,最后将测试用例和规则上传到rules/custom文件夹下
鉴于semgrep-rules的License变更为Semgrep Rules License v1.0,该协议不允许分发这些规则,或将其作为服务提供给其他人,只能用户用于内部业务目的。TCA下架semgrep的所有官方规则,只保留自定义规则。