semgrep: Lightweight static analysis for many languages
10 months ago
- #code-security
- #static-analysis
- #developer-tools
- Semgrep 是一款快速、开源的静态代码分析工具,支持30多种编程语言
- Semgrep社区版在安全场景中存在功能限制,建议安全用途使用Semgrep应用安全平台
- Semgrep应用安全平台提供增强分析能力、AI后处理及可定制策略
- Semgrep默认支持本地代码分析且不会上传代码
- Semgrep Code支持30+语言,Semgrep供应链安全支持15个包管理器的12种语言
- 建议新用户从Semgrep应用安全平台入门,提供可视化界面和演示项目
- Semgrep CLI可通过Homebrew/pip/Docker安装,包含供应链扫描和Pro规则等特性
- Semgrep生态包含:社区版、应用安全平台、Code(SAST)、供应链安全(SSC)、密钥扫描及AI助手
- Semgrep规则采用类代码语法,无需复杂语法树或领域专用语言
- GitLab/Dropbox/Slack等企业采用,由Semgrep公司开发维护