Apprezzo l'uso di Semgrep per le sue robuste capacità di scansione della sicurezza, in particolare nelle nostre scansioni di sicurezza del codice per Azure Data Factory, i notebook di Azure Databricks e il codice Python. L'installazione è stata semplice e si è integrata perfettamente nel nostro pipeline senza troppi problemi, dimostrando una facilità d'uso che contrasta nettamente con altri strumenti. Una delle caratteristiche che spiccano per me è il basso tasso di falsi positivi; identifica efficacemente i problemi di sicurezza reali senza perdere tempo con falsi allarmi, il che lo rende incredibilmente efficiente. Le regole integrate sono complete, coprendo la maggior parte dei linguaggi principali che utilizziamo e fornendo controlli approfonditi per le vulnerabilità comuni. I risultati delle scansioni sono trasparenti e attuabili, individuando la linea esatta nel codice in cui sorgono i problemi e offrendo indicazioni chiare su come risolverli, accelerando significativamente la risoluzione. Trovo anche che le prestazioni siano solide, senza ostacolare i nostri processi di build con ritardi. Inoltre, dopo aver investito tempo nell'apprendere come scrivere regole personalizzate adattate alle nostre esigenze specifiche, ho realizzato la potente flessibilità che Semgrep offre. Nel complesso, ha migliorato notevolmente il nostro processo di revisione del codice concentrando l'attenzione su problemi genuini e aiutando nella rilevazione precoce delle preoccupazioni di sicurezza. Questo ha rafforzato il nostro flusso di sviluppo e ridotto il tempo dedicato ai rischi di sicurezza. Raccomando vivamente Semgrep come uno strumento SAST pratico che offre risultati eccezionali pur essendo gestibile da mantenere. Recensione raccolta e ospitata su G2.com.

La sintassi delle regole personalizzate ha richiesto del tempo per essere appresa e inizialmente non era intuitiva. Inoltre, a volte Semgrep non rileva modelli di sicurezza complessi che si estendono su più funzioni o file, rendendo necessarie revisioni manuali per tali casi. Inoltre, la documentazione delle regole potrebbe essere migliorata con più esempi del mondo reale. Una migliore integrazione con il nostro IDE specifico e possibilmente alcuni suggerimenti di regole assistiti dall'IA basati sui modelli del nostro codice sarebbero anche vantaggiosi. Recensione raccolta e ospitata su G2.com.

Motore di regole flessibile e trasparente con una sintassi YAML chiara e modelli di flusso di dati, oltre a un ampio registro pubblico per successi rapidi e personalizzazione.

• Integrazione CI/CD fluida e runtime leggero, che consente scansioni frequenti senza un impatto significativo sulla velocità degli sviluppatori.

• Capacità di correzione automatica (basate su regole deterministiche e assistite da AI) che propongono o applicano modifiche sicure al codice, riducendo il tempo medio di risoluzione. Recensione raccolta e ospitata su G2.com.

Il sovraccarico di governance su larga scala; mantenere set di regole, eccezioni e aggiornamenti a livello di organizzazione su molti repository diventa un onere operativo senza un responsabile dedicato.

• L'autofix e il filtraggio del rumore tramite AI sono utili ma ancora in evoluzione; l'efficacia varia a seconda del linguaggio e della base di codice, e alcuni team rimangono cauti nell'applicare automaticamente le correzioni. Recensione raccolta e ospitata su G2.com.

Semgrep è uno dei migliori strumenti che ho usato per mettere in sicurezza le applicazioni. Da quando è stato integrato nel nostro flusso di lavoro DevSecOps, è stato in grado di identificare un gran numero di problemi molto prima nel processo di sviluppo. Semgrep esegue la scansione per pacchetti potenzialmente vulnerabili o versioni di software obsolete all'interno del codice e identifica accuratamente i CVE rilevanti. Fornisce anche informazioni chiare sull'impatto e suggerisce i passaggi di rimedio appropriati, così gli sviluppatori non devono cercare soluzioni online.

L'ho trovato particolarmente efficace nel rilevare segreti hardcoded, anche quelli che altri strumenti come Trufflehog potrebbero non individuare. Semgrep Supply Chain fa anche un ottimo lavoro nel individuare versioni di software vulnerabili.

Nel complesso, considero Semgrep essenziale per mettere in sicurezza le pipeline CI/CD nell'ambiente odierno. Recensione raccolta e ospitata su G2.com.

Niente di particolare. Funziona molto bene con tutte le funzionalità. Recensione raccolta e ospitata su G2.com.

Semgrep è leggero, molto veloce rispetto agli strumenti SAST tradizionali, e si integra perfettamente nei pipeline CI/CD. Mi piace che abbia un forte ecosistema di regole (regole della comunità e Pro), e la possibilità di scrivere regole personalizzate lo rende flessibile per diversi standard di codifica e esigenze di conformità. Il dashboard offre una grande visibilità sui risultati di sicurezza e sui problemi di qualità del codice, aiutando gli sviluppatori a risolvere i problemi rapidamente senza rallentarli. Recensione raccolta e ospitata su G2.com.

La configurazione iniziale per casi d'uso più avanzati può essere complicata, specialmente quando si tratta di perfezionare regole personalizzate o gestire grandi set di regole su più progetti. A volte, ci sono falsi positivi che richiedono una valutazione manuale, e la curva di apprendimento per la scrittura delle regole è un po' ripida per i nuovi arrivati. Mi piacerebbe anche vedere integrazioni più profonde con più piattaforme di sicurezza aziendale pronte all'uso. Recensione raccolta e ospitata su G2.com.

Semgrep è uno strumento di analisi statica che consente agli sviluppatori di creare regole personalizzate utilizzando una sintassi di pattern-matching intuitiva, che rispecchia da vicino il codice in fase di revisione. Offre supporto per una varietà di linguaggi di programmazione, tra cui Python, JavaScript, Java e Go, tra gli altri. Con Semgrep, gli utenti possono identificare vulnerabilità di sicurezza, affrontare problemi di qualità del codice e applicare standard di codifica in modo efficace. Molti sviluppatori apprezzano la sua integrazione senza soluzione di continuità con le pipeline CI/CD, la possibilità di eseguire scansioni localmente durante lo sviluppo e la flessibilità di creare regole su misura per il codice della loro organizzazione. Lo strumento è noto per le sue capacità di scansione rapida e per i tassi di falsi positivi inferiori rispetto alle soluzioni di analisi statica più tradizionali. Inoltre, Semgrep è disponibile sia in versione open-source che commerciale, con funzionalità avanzate come la gestione centralizzata delle regole e opzioni per la collaborazione in team. Recensione raccolta e ospitata su G2.com.

Gli strumenti di analisi statica possono presentare alcune limitazioni, come la generazione di falsi positivi che devono essere esaminati manualmente. Possono anche avere difficoltà a identificare vulnerabilità complesse a runtime o difetti logici che diventano evidenti solo durante l'esecuzione. Mantenere e regolare le regole per tenere il passo con i codebase in evoluzione è un requisito continuo. Alcuni utenti notano che creare regole personalizzate comporta una curva di apprendimento, in particolare quando si padroneggia la sintassi di pattern-matching. Scansioni complete di grandi codebase possono anche influire sulle prestazioni della pipeline CI/CD. Sebbene questi strumenti siano forti nel pattern matching, potrebbero trascurare vulnerabilità dipendenti dal contesto che richiedono un'analisi semantica più avanzata. Di conseguenza, i team spesso devono dedicare tempo alla configurazione delle regole per ridurre al minimo il rumore e dare priorità ai risultati rilevanti per il loro specifico stack tecnologico. Recensione raccolta e ospitata su G2.com.

Il feedback è rapido e attuabile, il che rende facile affrontare i problemi rapidamente. Apprezzo anche il numero ridotto di falsi positivi, poiché fa risparmiare tempo e sforzi. L'integrazione con GitHub e Actions è senza soluzione di continuità, rendendo il flusso di lavoro fluido. L'accuratezza è elevata e il supporto per un'ampia gamma di lingue è un altro punto di forza. Recensione raccolta e ospitata su G2.com.

Semgrep è piuttosto focalizzato in modo ristretto, concentrandosi principalmente sulla sicurezza e mancando di capacità di scansione integrate per altre aree importanti come il rilevamento di segreti, l'infrastruttura come codice o la sicurezza dei container. C'è anche una curva di apprendimento da considerare; creare regole efficaci e personalizzate richiede un certo livello di competenza, il che può essere particolarmente impegnativo quando si affrontano vulnerabilità più complesse. Inoltre, Semgrep da solo fornisce un contesto limitato, quindi senza strumenti supplementari, può essere difficile determinare se una vulnerabilità è veramente sfruttabile o raggiungibile in fase di esecuzione. Questa limitazione può rendere più difficile dare la giusta priorità ai problemi. Recensione raccolta e ospitata su G2.com.

Il vantaggio più significativo di Semgrep è il suo motore di regole altamente personalizzabile e la facilità di scrittura delle regole. La capacità di definire regole personalizzate in YAML, adattate a specifici codebase e modelli di minaccia, lo distingue da molte altre soluzioni SAST. Questa flessibilità consente un rilevamento preciso delle vulnerabilità personalizzate e l'adesione a specifici standard di codifica. La sua natura leggera e l'esecuzione rapida nei pipeline CI/CD sono anche altamente vantaggiose, permettendo cicli di feedback rapidi senza influire significativamente sui tempi di build. Inoltre, il core open-source fornisce trasparenza e consente contributi della comunità e audit dell'esecuzione delle regole. L'analisi di raggiungibilità in Semgrep Supply Chain è anche una caratteristica eccezionale, riducendo significativamente i falsi positivi concentrandosi su vulnerabilità realmente sfruttabili all'interno dei componenti di terze parti. Recensione raccolta e ospitata su G2.com.

Sebbene Semgrep eccella nell'analisi statica, il suo focus ristretto può rappresentare una limitazione per le organizzazioni che cercano una piattaforma di sicurezza applicativa completa. Non offre nativamente la scansione integrata per segreti, Infrastructure as Code (IaC), container o postura CI/CD, rendendo necessario l'uso di strumenti aggiuntivi per una copertura più ampia. La messa a punto iniziale necessaria per ridurre i falsi positivi e ottimizzare i set di regole può anche rappresentare un investimento iniziale, specialmente per nuovi utenti o progetti complessi. Infine, sebbene la scrittura delle regole sia un punto di forza, la curva di apprendimento per la creazione di regole avanzate può essere ripida per chi è nuovo allo strumento o all'analisi statica in generale. La mancanza di funzionalità di reporting robuste e integrate e di opzioni di esportazione per un'analisi dettagliata delle vulnerabilità è anche un notevole svantaggio. Recensione raccolta e ospitata su G2.com.

Apprezzo come Semgrep eccelle nelle capacità di convalida e test QA, mostrando una buona efficacia nell'esecuzione di questi compiti. La facilità d'uso è particolarmente notevole, richiedendo meno scripting rispetto ad altre alternative, e il processo di configurazione iniziale è stato semplice e senza sforzo. Valuto la sua funzionalità nel condurre test funzionali, che semplifica notevolmente i miei compiti. La progettazione dei casi di test e i risultati ottenuti sono particolarmente soddisfacenti, migliorando il mio processo di test. Ogni volta che incontro problemi che altri strumenti non possono risolvere, Semgrep diventa una risorsa indispensabile, permettendomi di progredire utilizzando efficacemente le sue funzionalità. Nel complesso, trovo Semgrep un'esplorazione degna per la sua funzionalità e l'approccio user-friendly. Recensione raccolta e ospitata su G2.com.

Niente Recensione raccolta e ospitata su G2.com.

Semgrep è uno degli strumenti più facili e leggeri per rilevare le vulnerabilità di sicurezza nel nostro codice. Ci consente anche di eseguire la scansione dei nostri repository locali e può essere integrato con la nostra pipeline CI/CD per fornire una scansione continua del codice. Preferiamo usarlo con quasi tutte le nostre applicazioni per sentirci più sicuri. Recensione raccolta e ospitata su G2.com.

Non c'è molto di cui lamentarsi, ma penso che l'interfaccia utente potrebbe essere più pulita e più facile da usare. Recensione raccolta e ospitata su G2.com.

È uno strumento molto intuitivo per la scansione dei repository di codice, e lo trovo molto più facile da usare rispetto alla nostra precedente scansione con Checkmarx. È abbastanza facile da integrare con il nostro repository di codice esistente e può anche essere filtrato in base alle necessità. Recensione raccolta e ospitata su G2.com.

Poiché abbiamo iniziato a utilizzare questo strumento solo di recente, finora non c'è nulla che non ci piaccia. Recensione raccolta e ospitata su G2.com.