Ich schätze die Verwendung von Semgrep wegen seiner robusten Sicherheits-Scan-Fähigkeiten, insbesondere bei unseren Code-Sicherheits-Scans für Azure Data Factory, Azure Databricks-Notebooks und Python-Code. Die Einrichtung war unkompliziert und integrierte sich nahtlos in unsere Pipeline, ohne viel Aufwand, was eine Benutzerfreundlichkeit zeigt, die im starken Kontrast zu anderen Tools steht. Eines der herausragenden Merkmale für mich ist die niedrige Rate an Fehlalarmen; es identifiziert effektiv tatsächliche Sicherheitsprobleme, ohne Zeit mit falschen Alarmen zu verschwenden, was es unglaublich effizient macht. Die eingebauten Regeln sind umfassend, decken die meisten von uns verwendeten Hauptsprachen ab und bieten gründliche Überprüfungen auf häufige Schwachstellen. Die Scan-Ergebnisse sind transparent und umsetzbar, sie zeigen die genaue Zeile im Code, in der Probleme auftreten, und bieten klare Anleitungen, wie man sie beheben kann, was die Behebung erheblich beschleunigt. Ich finde auch die Leistung solide, da sie unsere Build-Prozesse nicht mit Verzögerungen behindert. Darüber hinaus habe ich, nachdem ich Zeit investiert habe, um zu lernen, wie man benutzerdefinierte Regeln schreibt, die auf unsere spezifischen Bedürfnisse zugeschnitten sind, die mächtige Flexibilität von Semgrep erkannt. Insgesamt hat es unseren Code-Review-Prozess deutlich verbessert, indem es die Aufmerksamkeit auf echte Probleme lenkt und bei der frühzeitigen Erkennung von Sicherheitsbedenken hilft. Dies hat letztendlich unseren Entwicklungsworkflow gestärkt und die Zeit, die für Sicherheitsrisiken aufgewendet wird, reduziert. Ich empfehle Semgrep uneingeschränkt als praktisches SAST-Tool, das außergewöhnliche Ergebnisse liefert und gleichzeitig einfach zu warten ist. Bewertung gesammelt von und auf G2.com gehostet.

Die benutzerdefinierte Regelsyntax benötigte einige Zeit zum Erlernen und war anfangs nicht intuitiv. Außerdem übersieht Semgrep manchmal komplexe Sicherheitsmuster, die sich über mehrere Funktionen oder Dateien erstrecken, was in solchen Fällen manuelle Überprüfungen erforderlich macht. Darüber hinaus könnte die Regeldokumentation mit mehr praxisnahen Beispielen verbessert werden. Eine bessere Integration mit unserer spezifischen IDE und möglicherweise einige KI-unterstützte Regelvorschläge basierend auf den Mustern unseres Code-Bestands wären ebenfalls vorteilhaft. Bewertung gesammelt von und auf G2.com gehostet.

Flexibler, transparenter Regel-Engine mit klarer YAML-Syntax und Datenflussmustern sowie einem umfangreichen öffentlichen Register für schnelle Erfolge und Anpassungen.

• Nahtlose CI/CD-Integration und leichtgewichtige Laufzeit, die häufige Scans ohne wesentliche Auswirkungen auf die Entwicklergeschwindigkeit ermöglicht.

• Autofix-Funktionen (deterministisch regelbasiert und von Assistant AI unterstützt), die sichere Codeänderungen vorschlagen oder anwenden, um die mittlere Behebungszeit zu verkürzen. Bewertung gesammelt von und auf G2.com gehostet.

Governance-Overhead im großen Maßstab; die Pflege von organisationsweiten Regelwerken, Ausnahmen und Aktualisierungen über viele Repositories hinweg wird zu einer operativen Belastung ohne einen dedizierten Verantwortlichen. • Autofix und KI-Rauschfilterung sind hilfreich, aber noch in der Entwicklung; die Effektivität variiert je nach Sprache und Codebasis, und einige Teams sind weiterhin vorsichtig, automatische Korrekturen anzuwenden. Bewertung gesammelt von und auf G2.com gehostet.

Semgrep ist eines der besten Werkzeuge, die ich zur Sicherung von Anwendungen verwendet habe. Seit es in unseren DevSecOps-Workflow integriert wurde, konnte es eine große Anzahl von Problemen viel früher im Entwicklungsprozess identifizieren. Semgrep scannt nach potenziell anfälligen Paketen oder veralteten Softwareversionen innerhalb des Codebestands und identifiziert genau die relevanten CVEs. Es liefert auch klare Informationen über die Auswirkungen und schlägt die geeigneten Abhilfemaßnahmen vor, sodass Entwickler nicht online nach Lösungen suchen müssen.

Ich habe festgestellt, dass es besonders effektiv beim Erkennen von hartcodierten Geheimnissen ist, selbst solche, die andere Werkzeuge wie Trufflehog möglicherweise übersehen. Semgrep Supply Chain leistet auch hervorragende Arbeit beim Aufspüren von anfälligen Softwareversionen.

Insgesamt halte ich Semgrep für unverzichtbar, um CI/CD-Pipelines in der heutigen Umgebung abzusichern. Bewertung gesammelt von und auf G2.com gehostet.

Nichts dergleichen. Es funktioniert sehr gut mit allen Funktionen. Bewertung gesammelt von und auf G2.com gehostet.

Semgrep ist leichtgewichtig, sehr schnell im Vergleich zu traditionellen SAST-Tools und integriert sich nahtlos in CI/CD-Pipelines. Ich mag, dass es ein starkes Regel-Ökosystem (Community- und Pro-Regeln) hat, und die Möglichkeit, benutzerdefinierte Regeln zu schreiben, macht es flexibel für unterschiedliche Kodierungsstandards und Compliance-Anforderungen. Das Dashboard bietet großartige Einblicke in Sicherheitsfunde und Codequalitätsprobleme, was Entwicklern hilft, Probleme schnell zu beheben, ohne sie zu verlangsamen. Bewertung gesammelt von und auf G2.com gehostet.

Die anfängliche Einrichtung für fortgeschrittenere Anwendungsfälle kann schwierig sein, insbesondere beim Feinabstimmen benutzerdefinierter Regeln oder beim Verwalten großer Regelmengen über mehrere Projekte hinweg. Manchmal gibt es Fehlalarme, die manuell bearbeitet werden müssen, und die Lernkurve für das Schreiben von Regeln ist für Neulinge etwas steil. Ich würde auch gerne tiefere Integrationen mit mehr Unternehmenssicherheitsplattformen direkt ab Werk sehen. Bewertung gesammelt von und auf G2.com gehostet.

Semgrep ist ein statisches Analysetool, das Entwicklern ermöglicht, benutzerdefinierte Regeln mit einer intuitiven Musterabgleichssyntax zu erstellen, die den zu überprüfenden Code genau widerspiegelt. Es bietet Unterstützung für eine Vielzahl von Programmiersprachen, darunter Python, JavaScript, Java und Go, unter anderem. Mit Semgrep können Benutzer Sicherheitslücken identifizieren, Codequalitätsprobleme angehen und Kodierungsstandards effektiv durchsetzen. Viele Entwickler schätzen die nahtlose Integration in CI/CD-Pipelines, die Möglichkeit, Scans lokal während der Entwicklung durchzuführen, und die Flexibilität, Regeln zu erstellen, die auf den Codebestand ihrer Organisation zugeschnitten sind. Das Tool ist bekannt für seine schnellen Scanfähigkeiten und niedrigeren Fehlalarmraten im Vergleich zu traditionelleren statischen Analysetools. Darüber hinaus ist Semgrep sowohl in Open-Source- als auch in kommerziellen Versionen verfügbar, mit erweiterten Funktionen wie zentralem Regelmanagement und Optionen für die Zusammenarbeit im Team. Bewertung gesammelt von und auf G2.com gehostet.

Statische Analysetools können bestimmte Einschränkungen aufweisen, wie zum Beispiel das Generieren von Fehlalarmen, die manuell überprüft werden müssen. Sie können auch Schwierigkeiten haben, komplexe Laufzeit-Schwachstellen oder Logikfehler zu identifizieren, die erst während der Ausführung offensichtlich werden. Die Pflege und Anpassung von Regeln, um mit sich entwickelnden Codebasen Schritt zu halten, ist eine fortlaufende Anforderung. Einige Benutzer bemerken, dass das Erstellen benutzerdefinierter Regeln eine Lernkurve mit sich bringt, insbesondere beim Erlernen der Musterabgleichssyntax. Umfassende Scans großer Codebasen können auch die Leistung der CI/CD-Pipeline beeinträchtigen. Während diese Tools stark im Musterabgleich sind, könnten sie kontextabhängige Schwachstellen übersehen, die eine fortgeschrittenere semantische Analyse erfordern. Infolgedessen müssen Teams oft Zeit darauf verwenden, Regeln zu konfigurieren, um Lärm zu minimieren und Ergebnisse zu priorisieren, die für ihren spezifischen Technologiestack relevant sind. Bewertung gesammelt von und auf G2.com gehostet.

Das Feedback ist schnell und umsetzbar, was es einfach macht, Probleme schnell anzugehen. Ich schätze auch die reduzierte Anzahl von Fehlalarmen, da dies Zeit und Mühe spart. Die Integration mit GitHub und Actions ist nahtlos, was den Arbeitsablauf reibungslos macht. Die Genauigkeit ist hoch, und die Unterstützung für eine breite Palette von Sprachen ist ein weiterer starker Punkt. Bewertung gesammelt von und auf G2.com gehostet.

Semgrep ist ziemlich eng fokussiert und konzentriert sich hauptsächlich auf Sicherheit, wobei eingebaute Scan-Fähigkeiten für andere wichtige Bereiche wie Geheimniserkennung, Infrastruktur als Code oder Containersicherheit fehlen. Es gibt auch eine Lernkurve zu beachten; das Erstellen effektiver und benutzerdefinierter Regeln erfordert ein gewisses Maß an Fachwissen, was besonders herausfordernd sein kann, wenn man es mit komplexeren Schwachstellen zu tun hat. Darüber hinaus bietet Semgrep allein begrenzten Kontext, sodass es ohne zusätzliche Werkzeuge schwierig sein kann, festzustellen, ob eine Schwachstelle tatsächlich ausnutzbar oder zur Laufzeit erreichbar ist. Diese Einschränkung kann es erschweren, Probleme richtig zu priorisieren. Bewertung gesammelt von und auf G2.com gehostet.

Der bedeutendste Vorteil von Semgrep ist seine hochgradig anpassbare Regel-Engine und die einfache Erstellung von Regeln. Die Möglichkeit, benutzerdefinierte Regeln in YAML zu definieren, die auf spezifische Codebasen und Bedrohungsmodelle zugeschnitten sind, hebt es von vielen anderen SAST-Lösungen ab. Diese Flexibilität ermöglicht die präzise Erkennung von benutzerdefinierten Schwachstellen und die Einhaltung spezifischer Kodierungsstandards. Seine leichte Natur und die schnelle Ausführung in CI/CD-Pipelines sind ebenfalls sehr vorteilhaft, da sie schnelle Feedback-Schleifen ermöglichen, ohne die Build-Zeiten erheblich zu beeinträchtigen. Darüber hinaus bietet der Open-Source-Kern Transparenz und ermöglicht Community-Beiträge und Audits der Regel-Ausführung. Die Erreichbarkeitsanalyse in der Semgrep Supply Chain ist ebenfalls ein herausragendes Merkmal, das die Anzahl der Fehlalarme erheblich reduziert, indem es sich auf wirklich ausnutzbare Schwachstellen in Drittanbieterkomponenten konzentriert. Bewertung gesammelt von und auf G2.com gehostet.

Während Semgrep in der statischen Analyse hervorragend ist, kann sein enger Fokus eine Einschränkung für Organisationen darstellen, die eine umfassende Anwendungssicherheitsplattform suchen. Es bietet nicht von Haus aus integriertes Scannen für Geheimnisse, Infrastructure as Code (IaC), Container oder CI/CD-Posture, was den Einsatz zusätzlicher Tools für eine breitere Abdeckung erforderlich macht. Die anfängliche Abstimmung, die erforderlich ist, um Fehlalarme zu reduzieren und Regelsets zu optimieren, kann ebenfalls eine Vorabinvestition sein, insbesondere für neue Benutzer oder komplexe Projekte. Schließlich, obwohl das Schreiben von Regeln eine Stärke ist, kann die Lernkurve für die Erstellung fortgeschrittener Regeln steil sein für diejenigen, die neu im Umgang mit dem Tool oder in der statischen Analyse im Allgemeinen sind. Das Fehlen robuster, integrierter Berichtsfunktionen und Exportoptionen für eine detaillierte Schwachstellenanalyse ist ebenfalls ein bemerkenswerter Nachteil. Bewertung gesammelt von und auf G2.com gehostet.

Ich schätze, wie Semgrep in der Validierung und den QA-Testfähigkeiten hervorsticht und dabei eine gute Wirksamkeit bei der Durchführung dieser Aufgaben zeigt. Die Benutzerfreundlichkeit ist besonders bemerkenswert, da weniger Skripting im Vergleich zu anderen Alternativen erforderlich ist, und der anfängliche Einrichtungsprozess war unkompliziert und mühelos. Ich schätze seine Funktionalität bei der Durchführung von Funktionstests, die meine Aufgaben erheblich vereinfachen. Das Design der Testfälle und die daraus resultierenden Ergebnisse sind besonders erfreulich und verbessern meinen Testprozess. Wann immer ich auf Probleme stoße, die andere Tools nicht lösen können, wird Semgrep zu einer unverzichtbaren Ressource, die es mir ermöglicht, durch die effektive Nutzung seiner Funktionen voranzukommen. Insgesamt finde ich Semgrep eine lohnenswerte Erkundung aufgrund seiner Funktionalität und benutzerfreundlichen Herangehensweise. Bewertung gesammelt von und auf G2.com gehostet.

Nichts Bewertung gesammelt von und auf G2.com gehostet.

Semgrep ist eines der supereinfachen und leichtgewichtigsten Werkzeuge zur Erkennung von Sicherheitslücken in unserem Code. Es ermöglicht uns auch, unsere lokalen Repositories zu scannen und kann in unsere CI/CD-Pipeline integriert werden, um kontinuierliches Code-Scanning bereitzustellen. Wir ziehen es vor, es mit fast allen unseren Anwendungen zu verwenden, um mehr Vertrauen zu gewinnen. Bewertung gesammelt von und auf G2.com gehostet.

Es gibt nicht viel zu beanstanden, aber ich denke, die Benutzeroberfläche könnte sauberer und benutzerfreundlicher sein. Bewertung gesammelt von und auf G2.com gehostet.

Es ist ein sehr benutzerfreundliches Werkzeug zum Scannen von Code-Repositories, und ich finde es viel einfacher zu verwenden im Vergleich zu unserem vorherigen Checkmarx-Scan. Es ist ziemlich einfach, es in unser bestehendes Code-Repository zu integrieren und kann auch nach Bedarf gefiltert werden. Bewertung gesammelt von und auf G2.com gehostet.

Da wir dieses Werkzeug erst kürzlich zu verwenden begonnen haben, gibt es bisher nichts, was uns daran missfällt. Bewertung gesammelt von und auf G2.com gehostet.