如何利用正则表达式实现对原始代码中 Hardcoded 字符串的自动化扫描

从现在开始，努力学习吧！本文《如何利用正则表达式实现对原始代码中 Hardcoded 字符串的自动化扫描》主要讲解了等等相关知识点，我会在golang学习网中持续更新相关的系列文章，欢迎大家关注并积极留言建议。下面就先一起来看一下本篇正文内容吧，希望能帮到你！

正则表达式可初筛Hardcoded字符串，但需结合上下文判断真伪；推荐AST解析或专业工具（如Semgrep、SonarQube）提升准确率。

可以通过正则表达式快速识别代码中疑似 Hardcoded 字符串的位置，但需结合上下文判断是否真为“硬编码”，不能仅靠匹配就下结论。

识别常见 Hardcoded 字符串的正则模式

Hardcoded 字符串通常指直接写死在代码里的、未提取为常量或配置的字符串字面量。常见目标包括密码、API Key、URL、数据库连接串、敏感路径等。基础正则可写为：

r'(["\'])(?P(?:[^\\\\\\1]|\\\\.)*?)\\1'

该模式能匹配单/双引号包裹的字符串（支持转义），并捕获内容。但要注意：它会匹配所有字符串字面量，包括无害的日志信息或界面文案，需后续过滤。

更聚焦的写法（示例）：

• 匹配含 "key"、"token"、"password" 等关键词的字符串：r"""(["'])(?P[^"']*?(?:key|token|secret|password|pwd|auth|endpoint|jdbc:mysql)[^"']*?)\\1"""（不区分大小写需加 re.I）
• 匹配疑似 URL 或连接串：r"""(["'])(?Phttps?://|jdbc:[^"']*|mongodb://|redis://)[^"']*?\\1"""
• 排除明显安全的字符串（如空字符串、纯数字、常见单词）：在匹配后加白名单过滤逻辑，例如跳过 "OK"、"true"、"123" 等低风险值

规避常见误报与漏报

正则本身无法理解语法结构，容易在以下情况出错：

• 跨行字符串：默认不匹配换行。若语言支持（如 Python 的三重引号、JS 模板字符串），需启用 re.DOTALL 并扩展模式，或改用 AST 解析更稳妥
• 注释和字符串混淆：正则可能把注释里的字符串（如 // API_KEY = "xxx"）也抓进来。建议先预处理——移除注释或跳过注释行（可用 re.sub(r'//.*|/\*.*?\*/', '', line, flags=re.S) 简单清理）
• 拼接字符串：如 "https://" + host + ":8080" 不会被单次匹配捕获。正则难以覆盖此类动态拼接，需结合 AST 工具（如 Python 的 ast.literal_eval 或专用扫描器）

集成到实际扫描流程中

单纯运行正则只是第一步。推荐构建轻量级扫描脚本（以 Python 为例）：

• 遍历项目中所有 .py、.js、.java 等源码文件
• 对每行做正则匹配，记录文件名、行号、原始字符串、上下文前后 2 行
• 添加简单启发式规则：如该字符串出现在 = 右侧且左侧是变量名（非函数调用）、不在 if/for 条件中、未被赋值给 const / final / static final 等修饰符修饰，则提升为高优先级告警
• 输出为 CSV 或 JSON，供人工复核；也可对接 IDE 插件实现实时提示

比正则更可靠的替代方案

对于生产级扫描，正则宜作为初筛手段。真正降低误报率需升级方法：

• 使用 AST（抽象语法树）解析：如 Python 的 ast 模块可精准定位 ast.Constant 或 ast.Str 节点，并检查其父节点是否为赋值语句、是否在类/模块顶层、是否被标记为常量等
• 调用专业工具：SonarQube、Semgrep、Checkmarx 均内置 Hardcoded Secret 规则，支持多语言+上下文语义分析
• 结合词典与熵值检测：对匹配到的字符串计算字符熵（如 Shannon entropy），高熵值（>3.0）+含 Base64/Hex 特征，大概率是密钥而非普通文本

以上就是本文的全部内容了，是否有顺利帮助你解决问题？若是能给你带来学习上的帮助，请大家多多支持golang学习网！更多关于文章的相关知识，也可关注golang学习网公众号。