WorkBuddy自定义代码检查规则创建与静态分析定义指南

想要在WorkBuddy中精准识别那些通用规则无法覆盖、与业务逻辑紧密相关的特定代码缺陷？自定义静态分析规则正是您需要的解决方案。通过定制化检查能力，您可以有效定位框架专用API的不当调用、内部领域特定语言（DSL）的误用等独特风险场景。本文将为您详细解析三种主流的自定义规则定义方法，帮助您构建更贴合项目需求的代码质量防线。

一、使用YAML格式编写自定义SAST规则

对于大多数基于模式匹配的检测场景，YAML格式因其简洁高效而成为首选。WorkBuddy支持通过正则表达式结合上下文语义约束，精准捕获高危代码模式。

操作流程非常直观：进入平台“规则中心”的“自定义规则”模块，点击“新建YAML规则”。随后，您需要填写几个核心配置字段：

首先，为规则设定一个唯一的标识符——rule_id，例如可命名为 custom-orm-rawquery-sqli。

接着，在pattern字段中定义您的检测模式。例如，若希望捕获包含未过滤用户输入的原始SQL构造语句，可以使用如下正则表达式：.rawQuery([^)]*?(${|+s*request.|.get(|.getParameter())。

最后，设定规则的severity严重级别（如CRITICAL），并编写清晰的message提示信息，例如：“检测到绕过预编译的rawQuery调用，存在SQL注入风险”。保存后，在项目对应的规则组中启用此规则，即可立即生效。

二、导入符合Schema的JSON规则文件

如果您的团队已积累了一套结构化的规则资产，或希望与持续集成（CI）流水线中的其他代码检查工具保持格式统一，那么批量导入JSON规则文件是最佳选择。这种方式能确保规则在不同部署环境中保持一致性和可复用性。

具体实施步骤：首先，准备一个符合WorkBuddy规则Schema定义的JSON文件。文件中必须包含rule_id、severity、pattern、message等关键字段，且pattern的值必须是符合ECMAScript标准的正则表达式。

文件准备就绪后，在WorkBuddy的“规范模板”页面找到“导入规则”功能，上传您的custom-rules.rules.json文件。系统将自动执行语法及正则表达式有效性的双重校验。校验通过后，您将看到类似“共加载12条自定义规则”的成功提示。

三、基于AST节点类型定义语义级规则

面对一些复杂的缺陷模式，例如参数污染在多层方法调用链中传递的场景，仅依靠正则表达式可能难以精确描述。此时，基于抽象语法树（AST）的语义级规则定义方法便成为您的强大工具。

这种方法允许您依据代码的深层语法结构进行建模。在“自定义规则”界面切换至“AST模式”，点击“新建语义规则”。您需要定义几个关键条件：

在node_type中指定目标节点类型，例如CallExpression（函数调用节点）；在parent_type中指定其父节点类型，例如MemberExpression（成员表达式节点）；还可以通过property字段进一步限定，例如要求属性名name为"execute"。

您甚至可以在conditions中添加更细粒度的过滤条件，例如child_filter: [{type: "Identifier", name: "sql"}]，这表示仅当调用参数是名为“sql”的标识符时才触发告警。

同样，设置好severity级别（例如HIGH）和明确的message（如“直接执行未净化的SQL变量，违反安全编码规范”）。启用后，该规则将参与到后续的增量代码扫描中，为您严密监控深层逻辑中的安全隐患。