Reseñas y detalles del producto de Semgrep

That the SAST engine returns a very small number of false positives. And the rules are fun to write. I also like the reachability analysis of the supply chain tool so you don't get overwhelmed by false positives Reseña recopilada por y alojada en G2.com.

There is no export report feature. Moreover it would be useful a toggle to tell the supply chain tool to report all the vulnerable dependencies, regardless of their reachability. Reseña recopilada por y alojada en G2.com.

Me gusta el motor SAST, es potente y capaz junto con un menor porcentaje de falsos positivos. Aparte de eso, las reglas pro y muchas otras reglas integradas facilitan su integración con cualquier proceso de DevSecOps. Reseña recopilada por y alojada en G2.com.

Actualmente, la nueva oferta como SEMGREP AI y el gestor de secretos no encaja perfectamente. Reseña recopilada por y alojada en G2.com.

El motor sast y el tablero integral hacen que todo se vea genial y nítido. Reseña recopilada por y alojada en G2.com.

No estoy satisfecho con la precisión de las herramientas de integración con ello. Reseña recopilada por y alojada en G2.com.

- Easy to integrate in CICD and custom workflows

- CLI configurations are simple

- Powerful scanning capabilities

- Supports many languages

- Reachability analysis is helpful

- Stable and reliable Reseña recopilada por y alojada en G2.com.

- Doesn't handle unicode chars properly at many places, if there are unicodes in your code then semgrep can crash

- No GUI for OSS version, they should atleast provide a basic GUI for OSS version Reseña recopilada por y alojada en G2.com.

Una de las cosas que más me gusta de Semgrep es lo fácil que es de usar. Como herramienta de análisis estático, tiene la reputación de ser intimidante o difícil de integrar en los flujos de trabajo existentes. Pero con Semgrep, los desarrolladores no tienen que preocuparse por eso en absoluto. Se integra perfectamente con muchos editores de código populares, sistemas de control de versiones y herramientas de integración continua. Esto significa que es muy fácil de configurar y comenzar a usar para detectar posibles vulnerabilidades de seguridad, problemas de rendimiento y otros problemas de calidad del código.

Pero lo que realmente es genial de Semgrep es cómo se siente como una herramienta diseñada pensando en los desarrolladores. Las reglas preconstruidas son increíblemente completas y cubren una amplia gama de problemas potenciales. Pero si necesitas personalizarlas para tu proyecto, es fácil hacerlo. Y si alguna vez te quedas atascado, la comunidad siempre está ahí para ayudarte.

En resumen, Semgrep es una herramienta poderosa que puede ayudar a los desarrolladores a mejorar la calidad de su código. Pero más importante aún, se siente como una herramienta diseñada para hacernos la vida más fácil. ¿Y a quién no le gusta eso? Reseña recopilada por y alojada en G2.com.

Como con cualquier herramienta, Semgrep tiene algunos posibles inconvenientes a considerar. Aquí hay algunos:

Curva de aprendizaje: Aunque Semgrep generalmente se considera fácil de usar, todavía hay una curva de aprendizaje al usar cualquier herramienta nueva. Algunos desarrolladores pueden necesitar dedicar tiempo a familiarizarse con la sintaxis de Semgrep y cómo escribir y modificar reglas.

Falsos positivos/negativos: Como cualquier herramienta de análisis estático, Semgrep puede generar falsos positivos (es decir, marcar código como problemático cuando no lo es) o falsos negativos (es decir, no marcar código problemático). Esto puede ser frustrante y puede requerir tiempo y esfuerzo adicionales para resolverlo.

Intensivo en recursos: Dependiendo del tamaño de tu base de código, ejecutar Semgrep puede ser intensivo en recursos y puede ralentizar tu proceso de desarrollo. Es importante considerar esto al integrar Semgrep en tu flujo de trabajo y asegurarte de que tu hardware e infraestructura puedan manejarlo.

En general, estos posibles inconvenientes son relativamente menores en comparación con los beneficios que Semgrep puede proporcionar. Sin embargo, es importante considerar estos factores al decidir si Semgrep es la herramienta adecuada para tu proyecto. Reseña recopilada por y alojada en G2.com.

-La instalación es bastante sencilla

-Admite casi todos los lenguajes de programación

-Los escaneos son relativamente más rápidos que otras herramientas de análisis de código estático

-En ciertos casos, he notado que los resultados/hallazgos de Semgrep fueron más precisos Reseña recopilada por y alojada en G2.com.

-Hubo bastantes falsos positivos también

-Otras herramientas como Sonarqube tienen más características y proporcionan informes detallados

-La resolución de problemas puede ser difícil Reseña recopilada por y alojada en G2.com.

Semgrep nos ayudó en poco tiempo a reducir las vulnerabilidades importantes y a centrarnos en lo que importa gracias a Semgrep Supply Chain.

Es el producto con el mejor ROI que recomendaría añadir a su SSDLC. Es rápido, extensible y personalizable, con una práctica CLI. Reseña recopilada por y alojada en G2.com.

Integración de Bitbucket / Jira menos avanzada en comparación con GitHub, ¡pero alcanzando rápidamente! Reseña recopilada por y alojada en G2.com.

Semgrep is an easy-to-use and highly customizable static code analysis tool. Its intuitive interface and flexible rules library make running scans on any codebase effortless, big or small. With its active community of contributors and open-source nature, Semgrep is an essential tool for developers looking to enhance code quality and security quickly and efficiently. Reseña recopilada por y alojada en G2.com.

I have not encountered any major issues while using the product so far. During onboarding, I experienced some minor UI issues, but they did not significantly impact my overall experience. Reseña recopilada por y alojada en G2.com.

el escaneo consciente del contexto que permite a un ingeniero de seguridad ver métricas reales sobre vulnerabilidades en el código. Su oferta de IaC muestra cuán consciente del contexto puede ser con sus flujos de datos personalizados. Reseña recopilada por y alojada en G2.com.

Es difícil nombrar algo en particular, pero lo que es un desafío es familiarizarse con esto. Definitivamente hay una curva de aprendizaje para comenzar a escribir tus propias reglas. Reseña recopilada por y alojada en G2.com.

The Semgrep supply chain is a boon for application and product security teams. Backed by the already solid Semgrep engine, it can quickly surface vulnerabilities that are *actually* vulnerabilities and materially improves our security and risk management. It feels like it gave me new superpowers. I would recommend this to any security team, along with the base product. Most importantly, the r2c engineers and support team are first-rate. They are incredibly supportive and responsive, and I felt like their most important customer every step of the way. Reseña recopilada por y alojada en G2.com.

There are very few downsides I can think of, but one that comes to mind is the ability to extend or templatize existing rules. The base rules and rulesets are good but may produce false positives without customization. I would love the ability for Semgrep to offer a way to further customize rules and layer on specificity that increase accuracy. Reseña recopilada por y alojada en G2.com.