Semgrep Avantages et Inconvénients

That the SAST engine returns a very small number of false positives. And the rules are fun to write. I also like the reachability analysis of the supply chain tool so you don't get overwhelmed by false positives Avis collecté par et hébergé sur G2.com.

There is no export report feature. Moreover it would be useful a toggle to tell the supply chain tool to report all the vulnerable dependencies, regardless of their reachability. Avis collecté par et hébergé sur G2.com.

The easy customisation, custom rule creation and fast feedback for devs Avis collecté par et hébergé sur G2.com.

More products like IaC scanning or DAST, I would love to have full capabilities to scan apps Avis collecté par et hébergé sur G2.com.

J'aime le moteur SAST, il est puissant et capable avec un faible pourcentage de faux positifs. En dehors de cela, les règles intégrées pro et beaucoup d'autres le rendent facile à intégrer dans n'importe quel processus DevSecOps. Avis collecté par et hébergé sur G2.com.

Actuellement, la nouvelle offre comme SEMGREP AI et le gestionnaire de secrets ne s'additionne pas parfaitement. Avis collecté par et hébergé sur G2.com.

Le moteur sast et le tableau de bord complet rendent tout magnifique et net. Avis collecté par et hébergé sur G2.com.

Je ne suis pas satisfait de la précision des outils d'intégration avec cela. Avis collecté par et hébergé sur G2.com.

- Easy to integrate in CICD and custom workflows

- CLI configurations are simple

- Powerful scanning capabilities

- Supports many languages

- Reachability analysis is helpful

- Stable and reliable Avis collecté par et hébergé sur G2.com.

- Doesn't handle unicode chars properly at many places, if there are unicodes in your code then semgrep can crash

- No GUI for OSS version, they should atleast provide a basic GUI for OSS version Avis collecté par et hébergé sur G2.com.

Une des choses que j'aime le plus à propos de Semgrep est sa facilité d'utilisation. En tant qu'outil d'analyse statique, il a la réputation d'être intimidant ou difficile à intégrer dans les flux de travail existants. Mais avec Semgrep, les développeurs n'ont pas à s'en soucier du tout. Il s'intègre parfaitement avec de nombreux éditeurs de code populaires, systèmes de contrôle de version et outils d'intégration continue. Cela signifie qu'il est très facile à configurer et à commencer à utiliser pour détecter les vulnérabilités de sécurité potentielles, les problèmes de performance et d'autres problèmes de qualité de code.

Mais ce qui est vraiment cool avec Semgrep, c'est qu'il donne l'impression d'être un outil conçu avec les développeurs à l'esprit. Les règles préconstruites sont incroyablement complètes et couvrent un large éventail de problèmes potentiels. Mais si vous avez besoin de les personnaliser pour votre projet, c'est facile à faire. Et si jamais vous êtes bloqué, la communauté est toujours là pour vous aider.

Dans l'ensemble, Semgrep est un outil puissant qui peut aider les développeurs à améliorer la qualité de leur code. Mais plus important encore, il donne l'impression d'être un outil conçu pour nous faciliter la vie. Et qui n'aime pas ça ? Avis collecté par et hébergé sur G2.com.

Comme tout outil, Semgrep présente certains inconvénients potentiels à prendre en compte. En voici quelques-uns :

Courbe d'apprentissage : Bien que Semgrep soit généralement considéré comme convivial et facile à utiliser, il y a tout de même une courbe d'apprentissage pour l'utilisation de tout nouvel outil. Certains développeurs peuvent avoir besoin de passer du temps à se familiariser avec la syntaxe de Semgrep et à apprendre à écrire et modifier des règles.

Faux positifs/négatifs : Comme tout outil d'analyse statique, Semgrep peut générer des faux positifs (c'est-à-dire signaler du code comme problématique alors qu'il ne l'est pas) ou des faux négatifs (c'est-à-dire ne pas signaler du code problématique). Cela peut être frustrant et nécessiter un temps et des efforts supplémentaires pour être résolu.

Consommation de ressources : Selon la taille de votre base de code, l'exécution de Semgrep peut être gourmande en ressources et ralentir votre processus de développement. Il est important de prendre cela en compte lors de l'intégration de Semgrep dans votre flux de travail et de s'assurer que votre matériel et votre infrastructure peuvent le supporter.

Dans l'ensemble, ces inconvénients potentiels sont relativement mineurs par rapport aux avantages que Semgrep peut offrir. Cependant, il est important de prendre en compte ces facteurs lors de la décision d'utiliser ou non Semgrep pour votre projet. Avis collecté par et hébergé sur G2.com.

-L'installation est assez simple

-Prend en charge presque tous les langages de programmation

-Les analyses sont relativement plus rapides que d'autres outils d'analyse de code statique

-Dans certains cas, j'ai remarqué que les résultats/constats de Semgrep étaient plus précis Avis collecté par et hébergé sur G2.com.

-Il y avait pas mal de faux positifs aussi

-D'autres outils tels que Sonarqube ont plus de fonctionnalités et fournissent des rapports détaillés

-Le dépannage peut être difficile Avis collecté par et hébergé sur G2.com.

Semgrep nous a aidés en un rien de temps à cibler les vulnérabilités importantes et à nous concentrer sur ce qui compte grâce à Semgrep Supply Chain.

C'est le produit avec le meilleur retour sur investissement que je recommanderais d'ajouter à votre SSDLC. Il est rapide, extensible et personnalisable, avec une interface en ligne de commande pratique. Avis collecté par et hébergé sur G2.com.

Intégration Bitbucket / Jira moins avancée par rapport à GitHub mais rattrapant rapidement ! Avis collecté par et hébergé sur G2.com.

Semgrep is an easy-to-use and highly customizable static code analysis tool. Its intuitive interface and flexible rules library make running scans on any codebase effortless, big or small. With its active community of contributors and open-source nature, Semgrep is an essential tool for developers looking to enhance code quality and security quickly and efficiently. Avis collecté par et hébergé sur G2.com.

I have not encountered any major issues while using the product so far. During onboarding, I experienced some minor UI issues, but they did not significantly impact my overall experience. Avis collecté par et hébergé sur G2.com.

l'analyse contextuelle qui permet à un ingénieur en sécurité de voir de véritables métriques sur les vulnérabilités dans le code. Son offre d'IaC montre à quel point elle peut être contextuelle avec ses flux de données personnalisés. Avis collecté par et hébergé sur G2.com.

Il est difficile de nommer quelque chose en particulier, mais la chose qui est difficile est de s'intégrer à cela. Il y a certainement une courbe d'apprentissage pour commencer à écrire vos propres règles. Avis collecté par et hébergé sur G2.com.