DMS定義了一套領域專用語言DSL(Domain Specific Language)用來描述安全規則。DSL文法非常靈活,理論上可以表述任意安全規則,從而協助不同企業定義符合自己的研發規範。
DSL文法概述
DSL文法非常簡單,由分支判斷(IF-ELSE)、條件和動作三部分組成,基本形式如下。
if
條件1
then
動作1
end
還有增強形式,即else
後面還可以跟著if條件。只有if
語句是必須的,elseif
可以有0個或多個,else
可以有0個或1個。
if
條件1
then
動作1
elseif
條件2
then
動作2
[else 動作3]
end
DSL文法詳細介紹
- 條件陳述式
條件就是判斷語句,用來判定
true
或false
。條件陳述式由串連符(and
、or
)、操作符、因子(系統變數)組成。如下樣本都是合法的條件陳述式。true // 最簡單的條件陳述式,結果就是true。 1 > 0 1 > 0 and 2 > 1 1 <= 0 or 1 == 1
說明 以上結果都是true。- 串連符
和其它語言一樣,
and
和or
分別是與和或串連運算,and
比or
優先順序高,但它們都比操作符的優先順序低。例如
1 <= 0 or 1 == 1
語句:最先執行1 <= 0
判斷,然後執行1 == 1
判斷,最後執行or
判斷。 - 操作符
操作符用於串連因子(系統變更)、常量進行相關邏輯運算,目前支援的操作符如下。
操作符 說明 樣本 == 等於 1 == 1 != 不等於 1 != 2 > 大於 1 > 2 >= 大於等於 1 >= 2 < 小於 1 < 2 <= 小於等於 1 <= 2 in 包含於 ‘a’ in [‘a’, ‘b’, ‘c’] not in 不包含於 ‘a’ not in [‘a’, ‘b’, ‘c’] matchs(驗證工具) 正則匹配 'idx_aa' matchs 'idx_\\w+' not matchs 不匹配 'idx_aa' not matchs 'idx_\\w+' isBlank 為空白 ‘’ isBlank isNotBlank 不為空白 ‘’ isNotBlank 注意:Regex中(\)需要另外一個(\)轉義,例如:
idx_\w+需要寫成:idx_\\w+
。說明 操作符雖然有優先順序,但不建議依賴優先順序。如果條件陳述式較為複雜時,建議將需要先判斷的部分放在括弧內。例如:1 <= 2 == true
執行順序不明確,可改為:(1 <= 2) == true
,此時一定先執行(1 <= 2)
。 - 因子
因子是系統內建變數,可用來擷取安全規則校正的上下文資訊,如擷取SQL類型、影響行數等。因子全部以
@fac.
開頭,後接因子名稱。每個模組的不同檢測點均提供不同因子,如下為部分因子及其說明。因子名 說明 @fac.env_type 環境類型,值為環境標識,如 dev
、product
。詳情請參見執行個體環境說明。@fac.sql_type SQL指令碼的類型,如 UPDATE
、INSERT
。@fac.detail_type 資料變更的種類: - COMMON:普通資料變更
- CHUNK_DML:無鎖資料變更
- PROCEDURE:預存程序
- CRON_CLEAR_DATA:定時清理表
- BIG_FILE:批量資料匯入
@fac.is_logic 是否為邏輯庫。 @fac.extra_info 其他變更資訊(暫無用途)。 @fac.is_ignore_affect_rows 是否跳過校正。 @fac.insert_rows 插入資料的影響行數。 @fac.update_delete_rows 更新資料的影響行數。 @fac.max_alter_table_size 修改表中,最大的資料表空間大小。 @fac.is_has_security_column SQL指令碼中是否包含敏感列。 @fac.security_column_list SQL指令碼中包含的敏感列列表。 @fac.risk_level 識別到的風險層級。 @fac.risk_reason 識別為該風險的原因。 在條件陳述式中,可直接引用因子,例如:
@fac.sql_type == 'DML'
,判斷SQL類型是不是DML。
- 串連符
- 動作語句
動作是滿足
if
條件之後系統執行的行為,例如:禁止提交工單、選擇工作流程、允許執行、拒絕執行等,這些動作表達了安全規則的主要目的。動作全部以@act.
開頭,後接動作名稱。每個模組的不同檢測點均提供不同動作,如下為部分動作及其說明。動作名 說明 @act.allow_submit 必須提交工單執行。 @act.allow_execute_direct 允許直接在SQL控制台執行。 @act.forbid_execute 禁止執行。 @act.mark_risk 標記風險。用法: @act.mark_risk 'middle' '中風險:線上環境'
。@act.do_not_approve 指定審批模板ID。詳情請參見設定審批次程序。 @act.choose_approve_template @act.choose_approve_template_with_reason - 內建函數
安全規則內建部分函數,在條件陳述式和動作語句均可以使用。函數全部以 @fun. 開頭,後面是函數名。
函數名 說明 樣本 @fun.concat 拼接字串。 傳回值:字串。
參數:任意多個字串。@fun.concat(‘d’, ‘m’, ‘s’) // ‘dms’ @fun.concat(‘[研發規範]欄位[‘,@fac.column_name, ‘]必須要填寫備忘資訊’) // 拼接友好的提示資訊返回給使用者。
@fun.char_length 計算字串的長度。 傳回值:整數。
參數:一個字串。@fun.char_length(‘dms’) // 3 @fun.char_length(@fac.table_name) // 計算表名長度。
@fun.is_char_lower 判斷字串是否都是小寫。 傳回值:true或false。
參數:一個字串。@fun.is_char_lower(‘dms’) // true @fun.is_char_lower(@fac.table_name) // 返回true的話,表名都是小寫。
@fun.is_char_upper 判斷字串是否都是大寫。 傳回值:true或false。
參數:一個字串。@fun.is_char_upper(‘dms’) // false @fun.is_char_upper(@fac.table_name) // 返回true的話,表名都是大寫。
@fun.array_size 計算集合的大小。 傳回值:整數。
參數:一個集合。@fun.array_size([1, 2, 3]) // 3 @fun.array_size(@fac.table_index_array) // 計算表索引的個數。
@fun.add 多個數相加。 傳回值:數值。
參數:任意多個數。@fun.add(1, 2, 3) // 6 @fun.sub 兩個數相減。 傳回值:數值。
參數:2個數值。@fun.sub(6, 1) // 5 @fun.between 是否在某區間(支援數值、日期時間比較),判斷時包含邊界值。 傳回值:true或false。
參數:3個參數,第一個是目標值,第二個是左區間,第三個是右區間。@fun.between(1, 1, 3) // 判斷1是否在1~3區間內,返回true。 @fun.between(2, 1, 3) // 判斷2是否在1~3區間內,返回true。
@fun.between(7, 1, 3) // 判斷7是否在1~3區間內,返回false。@fun.between(@fac.export_rows, 2001, 100000) // 判斷匯出行數的範圍。
@fun.between(@fun.current_datetime(), ‘2019-10-31 00:00:00’, ‘2019-11-04 00:00:00’) // 判斷目前時間是否在10.31~11.04號之間。@fun.between(@fun.current_date(), ‘2019-10-31’, ‘2019-11-04’) // 判斷目前時間是否在10.31~11.04號之間。
@fun.current_datetime 擷取當前日期時間,格式:yyyy-MM-dd HH:mm:ss。 傳回值:字串。
參數:無。@fun.current_datetime() // 當前日期時間,例如:2019-10-31 00:00:00。 @fun.current_date 擷取當前日期,格式:yyyy-MM-dd。 傳回值:字串。
參數:無。@fun.current_date() // 當前日期,例如:2020-01-13。 @fun.current_time 擷取目前時間,格式:HH:mm:ss。 傳回值:字串。
參數:無。@fun.current_time() // 目前時間,例如:19:43:20。 @fun.is_contain_str 判斷第一個字串是否包含第二個字串。 傳回值:true或false。
參數:2個參數,第一個是源字串(Source),第二個是目標字串(Target)。@fun.is_contain_str('abcd', 'ab') // 判斷"abcd"是否包含"ab",返回true。 @fun.listEqualIgnoreOrder 判斷兩個字串List是否相同(忽略元素順序和元素的大小寫)。 傳回值:true或false。
參數:2個參數,第一個是字串List1,第二個是字串List2。@fun.listEqualIgnoreOrder(['ab','cd'], ['Cd','ab']) // 判斷是否相同,返回true。 @fun.listEqualIgnoreOrder(@fac.perm_type, ['QUERY']) // 判斷是否僅申請了查詢許可權。
@fun.listEqualIgnoreOrder(@fac.perm_type, ['CORRECT','EXPORT']) // 判斷是否同時申請了變更和匯出許可權。
樣本
- 控制單次執行SQL個數。
if @fac.sql_count > 1000 then @act.reject_execute '單次執行SQL個數不能超過1000' else @act.allow_execute end
說明 如果SQL的數量大於1000個時,DMS即拒絕執行,並且返回相應的理由給使用者,否則就允許執行。 - 允許提交DML語句。
if @fac.sql_type in [ 'UPDATE','DELETE','INSERT','INSERT_SELECT'] then @act.allow_submit end
說明 如果提交的SQL是UPDATE
、DELETE
、INSERT
、INSERT_SELECT
類型就允許執行。