# Semgrep Reviews **Vendor:** Semgrep **Category:** [Outils d'analyse de la composition logicielle](https://www.g2.com/fr/categories/software-composition-analysis) **Average Rating:** 4.6/5.0 **Total Reviews:** 55 ## About Semgrep Semgrep est une plateforme moderne d'analyse statique (SAST), d'analyse de composition logicielle (SCA) et de détection de secrets, conçue à la fois pour les développeurs et les équipes de sécurité. Elle combine une analyse rapide et déterministe avec une IA contextuelle qui trie les résultats comme un ingénieur en sécurité senior. L'assistant IA aide à réduire les faux positifs, à prioriser les résultats significatifs et offre des conseils clairs pour la remédiation. Sa fonctionnalité « Mémoires » apprend des décisions passées pour réduire encore plus le bruit de triage au fil du temps. Semgrep prend également en charge l'analyse approfondie des dépendances transitives, et pas seulement des dépendances directes, aidant les équipes à mettre en lumière et à traiter les risques cachés dans leur chaîne d'approvisionnement. Il s'intègre bien dans les flux de travail de développement modernes et est facile à personnaliser dans différents environnements. ## Semgrep Pros & Cons **What users like:** - Les utilisateurs apprécient la **facilité d'utilisation** de Semgrep, s'intégrant parfaitement dans les flux de travail et améliorant l'efficacité des développeurs. (16 reviews) - Les utilisateurs apprécient la **configuration conviviale et les capacités de test QA** de Semgrep, ce qui le rend essentiel pour des tests fonctionnels efficaces. (14 reviews) - Les utilisateurs apprécient la **détection de vulnérabilités personnalisable** dans Semgrep, améliorant la sécurité dans les workflows CI/CD et les bases de code. (13 reviews) - Les utilisateurs apprécient l' **efficacité de balayage** de Semgrep, permettant une détection rapide des problèmes tôt dans le processus de développement. (12 reviews) - Les utilisateurs apprécient le **moteur de règles personnalisable** de Semgrep, améliorant la sécurité et la précision dans la détection des vulnérabilités. (12 reviews) - Les utilisateurs apprécient la **performance rapide** de Semgrep, permettant une identification rapide des problèmes de sécurité sans ralentir le développement. (11 reviews) - Les utilisateurs apprécient les capacités de **balayage automatisé** de Semgrep, identifiant efficacement les vulnérabilités tôt dans le développement. (10 reviews) - Les utilisateurs apprécient la **haute précision des résultats** de Semgrep, notant un minimum de faux positifs dans les résultats d'analyse. (9 reviews) - Les utilisateurs apprécient la **facilité de personnalisation et la création de règles amusantes** avec Semgrep, améliorant ainsi l'efficacité et la précision du développement. (9 reviews) - Intégrations faciles (9 reviews) **What users dislike:** - Les utilisateurs trouvent que Semgrep n'est **pas convivial** en raison d'une courbe d'apprentissage abrupte et de processus d'installation initiaux compliqués. (7 reviews) - Les utilisateurs notent les **fonctionnalités limitées** de Semgrep, notamment en ce qui concerne les capacités de sécurité plus larges et la gestion des résultats complexes. (6 reviews) - Les utilisateurs trouvent que la **courbe d'apprentissage difficile** pour les règles personnalisées dans Semgrep est un défi, surtout pour les nouveaux venus et les configurations complexes. (5 reviews) - Les utilisateurs éprouvent un **manque de guidance** avec Semgrep, ce qui rend difficile la navigation dans la création et la configuration de règles personnalisées. (5 reviews) - Les utilisateurs sont confrontés à une **courbe d'apprentissage abrupte** avec la syntaxe des règles personnalisées de Semgrep, ce qui affecte la configuration initiale et l'utilisabilité. (5 reviews) - Difficulté d'apprentissage (5 reviews) - Les utilisateurs trouvent que les **fonctionnalités manquantes** dans Semgrep sont limitantes, nécessitant des outils supplémentaires pour une couverture de sécurité complète. (5 reviews) - Les utilisateurs trouvent **la gestion du code difficile** en raison de configurations complexes et de courbes d'apprentissage abruptes pour les règles personnalisées. (4 reviews) - Faux positifs (4 reviews) - Complexité de configuration (4 reviews) ## Semgrep Reviews ### 1. Sécurité du code simplifiée avec Semgrep **Rating:** 5.0/5.0 stars **Reviewed by:** Shreekanth k. | Cloud Application Development Engineer, Entreprise (> 1000 employés) **Reviewed Date:** November 18, 2025 **Qu'aimez-vous le plus à propos de Semgrep?** J'apprécie l'utilisation de Semgrep pour ses capacités robustes de scan de sécurité, en particulier dans nos analyses de sécurité du code pour Azure Data Factory, les notebooks Azure Databricks et le code Python. La configuration a été simple et s'est intégrée parfaitement dans notre pipeline sans trop de tracas, démontrant une facilité d'utilisation qui contraste fortement avec d'autres outils. L'une des caractéristiques remarquables pour moi est le faible taux de faux positifs ; il identifie efficacement les véritables problèmes de sécurité sans perdre de temps sur de fausses alertes, ce qui le rend incroyablement efficace. Les règles intégrées sont complètes, couvrant la plupart des langages majeurs que nous utilisons et fournissant des vérifications approfondies pour les vulnérabilités courantes. Les résultats des scans sont transparents et exploitables, pointant la ligne exacte dans le code où les problèmes surviennent et offrant des conseils clairs sur la façon de les corriger, accélérant ainsi considérablement la remédiation. Je trouve également que la performance est solide, ne gênant pas nos processus de build avec des retards. De plus, après avoir investi du temps à apprendre à écrire des règles personnalisées adaptées à nos besoins spécifiques, j'ai réalisé la flexibilité puissante que Semgrep offre. Dans l'ensemble, il a nettement amélioré notre processus de revue de code en concentrant l'attention sur les véritables problèmes et en aidant à la détection précoce des préoccupations de sécurité. Cela a finalement renforcé notre flux de développement et réduit le temps passé sur les risques de sécurité. Je recommande vivement Semgrep comme un outil SAST pratique qui offre des résultats exceptionnels tout en étant facile à maintenir. **Que n’aimez-vous pas à propos de Semgrep?** La syntaxe des règles personnalisées a pris du temps à apprendre et n'était pas intuitive au départ. De plus, parfois Semgrep manque des motifs de sécurité complexes qui s'étendent sur plusieurs fonctions ou fichiers, nécessitant des révisions manuelles pour ces cas. En outre, la documentation des règles pourrait être améliorée avec plus d'exemples concrets. Une meilleure intégration avec notre IDE spécifique et éventuellement des suggestions de règles assistées par l'IA basées sur les motifs de notre base de code seraient également bénéfiques. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** J'utilise Semgrep pour détecter les vulnérabilités de sécurité et les problèmes de qualité du code tôt, ce qui permet de gagner du temps sur les revues manuelles et de réduire les risques de sécurité. Il offre des résultats de scan exploitables, un minimum de faux positifs et des règles personnalisables, améliorant ainsi notre efficacité de développement. ### 2. Moteur de règles puissant et correction automatique, mais la gouvernance à grande échelle nécessite du travail **Rating:** 4.5/5.0 stars **Reviewed by:** Utilisateur vérifié à Technologie de l'information et services | Entreprise (> 1000 employés) **Reviewed Date:** November 01, 2025 **Qu'aimez-vous le plus à propos de Semgrep?** Moteur de règles flexible et transparent avec une syntaxe YAML claire et des modèles de flux de données, ainsi qu'un registre public étendu pour des gains rapides et une personnalisation. • Intégration fluide CI/CD et runtime léger, permettant des analyses fréquentes sans impact majeur sur la vitesse des développeurs. • Capacités d'autocorrection (basées sur des règles déterministes et assistées par une IA d'assistant) qui proposent ou appliquent des modifications de code sûres, réduisant le temps moyen de remédiation. **Que n’aimez-vous pas à propos de Semgrep?** La surcharge de gouvernance à grande échelle ; maintenir des ensembles de règles, des exceptions et des mises à jour à l'échelle de l'organisation à travers de nombreux dépôts devient un fardeau opérationnel sans un responsable dédié. • L'autocorrection et le filtrage du bruit par l'IA sont utiles mais encore en évolution ; l'efficacité varie selon le langage et la base de code, et certaines équipes restent prudentes quant à l'application automatique des correctifs. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Semgrep aide à intégrer la sécurité dans le développement quotidien en détectant les schémas risqués tôt dans les pull requests et CI, ce qui réduit le retravail et maintient une haute vélocité de publication. Des règles transparentes et personnalisables permettent à l'équipe de coder nos propres garde-fous et d'ajouter rapidement des vérifications pour de nouveaux frameworks, de sorte que la couverture s'améliore sans attendre les mises à jour du fournisseur. Le filtrage du bruit assisté par l'IA et les conseils de correction automatique réduisent le temps de triage et aident les développeurs à résoudre les problèmes plus rapidement, ce qui diminue le MTTR et nous aide à respecter les SLA de remédiation de manière plus cohérente. Opérationnellement, des analyses rapides et une intégration facile CI/SCM signifient que les développeurs voient des retours exploitables là où ils travaillent, et non dans un portail séparé, augmentant ainsi l'adoption et les taux de correction. En conséquence, nous sommes passés de revues de sécurité sporadiques à des vérifications automatisées et cohérentes à travers les services, avec des gains mesurables dans le taux de correction et moins de schémas à haut risque atteignant la production. Le bénéfice net est des pratiques plus solides de sécurité par défaut avec un impact minimal sur la productivité, ainsi qu'un risque de conformité réduit grâce aux règles de politique en tant que code que nous pouvons auditer et faire évoluer au fil du temps. ### 3. Examen de Semgrep **Rating:** 5.0/5.0 stars **Reviewed by:** Deepam . | Security Engineer, Entreprise (> 1000 employés) **Reviewed Date:** September 25, 2025 **Qu'aimez-vous le plus à propos de Semgrep?** Semgrep est l'un des meilleurs outils que j'ai utilisés pour sécuriser les applications. Depuis qu'il a été intégré dans notre flux de travail DevSecOps, il a pu identifier un grand nombre de problèmes beaucoup plus tôt dans le processus de développement. Semgrep analyse les packages potentiellement vulnérables ou les versions de logiciels obsolètes dans le code et identifie avec précision les CVE pertinents. Il fournit également des informations claires sur l'impact et suggère les étapes de remédiation appropriées, de sorte que les développeurs n'ont pas besoin de chercher des solutions en ligne. Je l'ai trouvé particulièrement efficace pour détecter les secrets codés en dur, même ceux que d'autres outils comme Trufflehog pourraient manquer. Semgrep Supply Chain fait également un excellent travail pour identifier les versions de logiciels vulnérables. Dans l'ensemble, je considère Semgrep comme essentiel pour sécuriser les pipelines CI/CD dans l'environnement actuel. **Que n’aimez-vous pas à propos de Semgrep?** Rien de tel. Cela fonctionne très bien avec toutes les fonctionnalités. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Semgrep est excellent pour l'automatisation et pour l'identification précoce des problèmes de sécurité, ce qui permet d'économiser beaucoup d'efforts manuels pour les développeurs et les pentesteurs. ### 4. Outil d'analyse statique rapide, fiable et convivial pour les développeurs **Rating:** 4.5/5.0 stars **Reviewed by:** Ivo M. | Analista de segurança da informação junior, Entreprise (> 1000 employés) **Reviewed Date:** September 05, 2025 **Qu'aimez-vous le plus à propos de Semgrep?** Semgrep est léger, très rapide par rapport aux outils SAST traditionnels, et s'intègre facilement dans les pipelines CI/CD. J'aime qu'il dispose d'un écosystème de règles solide (règles communautaires et Pro), et la possibilité d'écrire des règles personnalisées le rend flexible pour différents standards de codage et besoins de conformité. Le tableau de bord offre une excellente visibilité sur les résultats de sécurité et les problèmes de qualité du code, aidant les développeurs à résoudre les problèmes rapidement sans les ralentir. **Que n’aimez-vous pas à propos de Semgrep?** La configuration initiale pour des cas d'utilisation plus avancés peut être délicate, surtout lors de l'affinement de règles personnalisées ou de la gestion de grands ensembles de règles à travers plusieurs projets. Parfois, il y a des faux positifs qui nécessitent un tri manuel, et la courbe d'apprentissage pour l'écriture de règles est un peu raide pour les nouveaux venus. J'aimerais également voir des intégrations plus profondes avec davantage de plateformes de sécurité d'entreprise prêtes à l'emploi. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Semgrep nous aide à détecter les vulnérabilités de sécurité et les problèmes de codage tôt dans le cycle de développement. Il facilite l'application de normes de codage sécurisées à travers plusieurs équipes sans ajouter de lourdes frictions au flux de travail des développeurs. En s'intégrant directement dans les pipelines CI/CD, il réduit le temps de détection et empêche le code risqué d'atteindre la production. Cela a amélioré à la fois la posture de sécurité et la cohérence de nos applications tout en réduisant l'effort manuel nécessaire pour les revues de code. ### 5. Analyse statique puissante et personnalisable avec des analyses rapides—Nécessite un certain apprentissage et réglage **Rating:** 5.0/5.0 stars **Reviewed by:** Utilisateur vérifié à Fabrication | Entreprise (> 1000 employés) **Reviewed Date:** October 22, 2025 **Qu'aimez-vous le plus à propos de Semgrep?** Semgrep est un outil d'analyse statique qui permet aux développeurs de créer des règles personnalisées en utilisant une syntaxe de correspondance de motifs intuitive, qui reflète étroitement le code examiné. Il offre un support pour une variété de langages de programmation, y compris Python, JavaScript, Java et Go, entre autres. Avec Semgrep, les utilisateurs peuvent identifier les vulnérabilités de sécurité, résoudre les problèmes de qualité du code et appliquer efficacement les normes de codage. De nombreux développeurs apprécient son intégration transparente avec les pipelines CI/CD, la possibilité d'exécuter des analyses localement pendant le développement, et la flexibilité de créer des règles adaptées à la base de code de leur organisation. L'outil est connu pour ses capacités de balayage rapide et ses taux de faux positifs plus faibles par rapport aux solutions d'analyse statique plus traditionnelles. De plus, Semgrep est disponible en versions open-source et commerciale, avec des fonctionnalités avancées telles que la gestion centralisée des règles et des options pour la collaboration en équipe. **Que n’aimez-vous pas à propos de Semgrep?** Les outils d'analyse statique peuvent présenter certaines limitations, telles que la génération de faux positifs qui doivent être examinés manuellement. Ils peuvent également avoir du mal à identifier des vulnérabilités complexes à l'exécution ou des défauts logiques qui ne deviennent apparents que lors de l'exécution. Maintenir et ajuster les règles pour suivre l'évolution des bases de code est une exigence continue. Certains utilisateurs notent que la création de règles personnalisées implique une courbe d'apprentissage, en particulier lorsqu'il s'agit de maîtriser la syntaxe de correspondance de motifs. Les analyses complètes de grandes bases de code peuvent également affecter les performances des pipelines CI/CD. Bien que ces outils soient performants en correspondance de motifs, ils peuvent négliger des vulnérabilités dépendantes du contexte qui nécessitent une analyse sémantique plus avancée. En conséquence, les équipes doivent souvent consacrer du temps à configurer les règles afin de minimiser le bruit et de prioriser les résultats pertinents pour leur pile technologique spécifique. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Il manque l'option pour déclencher manuellement une analyse de code, spécifiquement pour les analyses statiques. ### 6. Intégration rapide, précise et transparente avec GitHub **Rating:** 4.5/5.0 stars **Reviewed by:** Utilisateur vérifié à Fabrication | Petite entreprise (50 employés ou moins) **Reviewed Date:** October 22, 2025 **Qu'aimez-vous le plus à propos de Semgrep?** Les retours sont rapides et exploitables, ce qui permet de résoudre les problèmes rapidement. J'apprécie également le nombre réduit de faux positifs, car cela permet de gagner du temps et des efforts. L'intégration avec GitHub et Actions est fluide, rendant le flux de travail harmonieux. La précision est élevée, et le support pour un large éventail de langues est un autre point fort. **Que n’aimez-vous pas à propos de Semgrep?** Semgrep est assez étroitement ciblé, se concentrant principalement sur la sécurité et manquant de capacités de balayage intégrées pour d'autres domaines importants tels que la détection de secrets, l'infrastructure en tant que code ou la sécurité des conteneurs. Il y a aussi une courbe d'apprentissage à prendre en compte ; créer des règles efficaces et personnalisées exige un certain niveau d'expertise, ce qui peut être particulièrement difficile lorsqu'il s'agit de vulnérabilités plus complexes. De plus, Semgrep à lui seul fournit un contexte limité, donc sans outils supplémentaires, il peut être difficile de déterminer si une vulnérabilité est réellement exploitable ou accessible à l'exécution. Cette limitation peut rendre plus difficile la priorisation correcte des problèmes. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Semgrep aide les développeurs et les équipes de sécurité à identifier les bugs, les vulnérabilités et à appliquer les normes de codage. Il analyse le code source pour détecter des motifs qui correspondent à des règles prédéfinies, ce qui le rend précieux pour les revues de code, les audits de sécurité et le maintien de la qualité globale du code. Semgrep sera notre nouvel outil SAST par défaut alors que nous commençons à éliminer progressivement l'outil actuel qui est obsolète et difficile à utiliser. ### 7. Semgrep : Une solution SAST puissante et personnalisable **Rating:** 3.5/5.0 stars **Reviewed by:** Utilisateur vérifié à Technologie de l'information et services | Entreprise (> 1000 employés) **Reviewed Date:** October 21, 2025 **Qu'aimez-vous le plus à propos de Semgrep?** L'avantage le plus significatif de Semgrep est son moteur de règles hautement personnalisable et la facilité d'écriture des règles. La capacité de définir des règles personnalisées en YAML, adaptées à des bases de code et des modèles de menace spécifiques, le distingue de nombreuses autres solutions SAST. Cette flexibilité permet une détection précise des vulnérabilités personnalisées et le respect de normes de codage spécifiques. Sa nature légère et son exécution rapide dans les pipelines CI/CD sont également très bénéfiques, permettant des boucles de rétroaction rapides sans affecter significativement les temps de construction. De plus, le noyau open-source offre transparence et permet les contributions de la communauté et les audits de l'exécution des règles. L'analyse de la portée dans Semgrep Supply Chain est également une caractéristique remarquable, réduisant considérablement les faux positifs en se concentrant sur les vulnérabilités réellement exploitables au sein des composants tiers. **Que n’aimez-vous pas à propos de Semgrep?** Bien que Semgrep excelle dans l'analyse statique, son focus étroit peut être une limitation pour les organisations cherchant une plateforme de sécurité applicative complète. Il n'offre pas nativement de balayage intégré pour les secrets, l'Infrastructure as Code (IaC), les conteneurs ou la posture CI/CD, nécessitant l'utilisation d'outils supplémentaires pour une couverture plus large. Le réglage initial requis pour réduire les faux positifs et optimiser les ensembles de règles peut également représenter un investissement initial, surtout pour les nouveaux utilisateurs ou les projets complexes. Enfin, bien que l'écriture de règles soit un point fort, la courbe d'apprentissage pour la création de règles avancées peut être abrupte pour ceux qui découvrent l'outil ou l'analyse statique en général. Le manque de fonctionnalités de reporting robustes intégrées et d'options d'exportation pour une analyse détaillée des vulnérabilités est également un inconvénient notable. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Semgrep résout le problème de la détection des vulnérabilités de sécurité, des bugs et de l'application des normes de code tôt et rapidement dans le cycle de développement. Il aide à déplacer la sécurité vers la gauche en s'intégrant directement dans les flux de travail de développement, tels que les pipelines CI/CD et les IDE. ### 8. Facile à utiliser avec de grandes capacités de test fonctionnel **Rating:** 5.0/5.0 stars **Reviewed by:** Nagaraju A. | Delivery Manager, Marché intermédiaire (51-1000 employés) **Reviewed Date:** October 31, 2025 **Qu'aimez-vous le plus à propos de Semgrep?** J'apprécie la manière dont Semgrep excelle dans les capacités de validation et de test QA, montrant une bonne efficacité dans l'exécution de ces tâches. La facilité d'utilisation est particulièrement remarquable, nécessitant moins de script par rapport à d'autres alternatives, et le processus d'installation initiale a été simple et sans effort. J'apprécie sa fonctionnalité dans la réalisation de tests fonctionnels, ce qui simplifie considérablement mes tâches. La conception des cas de test et les résultats obtenus sont particulièrement satisfaisants, améliorant mon processus de test. Chaque fois que je rencontre des problèmes que d'autres outils ne peuvent pas résoudre, Semgrep devient une ressource indispensable, me permettant de progresser en utilisant ses fonctionnalités efficacement. Dans l'ensemble, je trouve que Semgrep mérite d'être exploré pour sa fonctionnalité et son approche conviviale. **Que n’aimez-vous pas à propos de Semgrep?** Rien **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Je trouve que Semgrep améliore mon flux de travail pour les tests fonctionnels, le rendant facile à utiliser et réduisant le besoin de script. Il résout des problèmes lorsque d'autres outils échouent, m'aidant à avancer et à bloquer les problèmes efficacement. ### 9. Excellente expérience, mais l'interface utilisateur pourrait être plus conviviale. **Rating:** 4.5/5.0 stars **Reviewed by:** Mohammad A. | Product Owner, Entreprise (> 1000 employés) **Reviewed Date:** October 22, 2025 **Qu'aimez-vous le plus à propos de Semgrep?** Semgrep est l'un des outils les plus faciles et les plus légers pour détecter les vulnérabilités de sécurité dans notre base de code. Il nous permet également de scanner nos dépôts locaux et peut être intégré à notre pipeline CI/CD pour fournir une analyse continue du code. Nous préférons l'utiliser avec presque toutes nos applications pour nous sentir plus confiants. **Que n’aimez-vous pas à propos de Semgrep?** Il n'y a pas grand-chose à redire, mais je pense que l'interface utilisateur pourrait être plus épurée et plus conviviale. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** La plateforme offre une analyse des vulnérabilités et aide à maintenir les applications exemptes de bugs. Elle fournit également une analyse de code automatisée via le pipeline CI/CD et prend en charge l'analyse pour plusieurs langages de programmation. ### 10. Analyse de code sans effort—Beaucoup plus facile que notre ancien outil **Rating:** 5.0/5.0 stars **Reviewed by:** Avneesh J. | Engineering manager-DevOps, Entreprise (> 1000 employés) **Reviewed Date:** October 28, 2025 **Qu'aimez-vous le plus à propos de Semgrep?** C'est un outil très convivial pour analyser les dépôts de code, et je le trouve beaucoup plus facile à utiliser par rapport à notre précédent scan Checkmarx. Il est assez facile à intégrer avec notre dépôt de code existant et peut également être filtré en fonction des besoins. **Que n’aimez-vous pas à propos de Semgrep?** Comme nous avons seulement commencé à utiliser cet outil récemment, il n'y a rien que nous n'aimions pas jusqu'à présent. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Cela aide à découvrir les vulnérabilités des logiciels open-source et à les intégrer dans nos pipelines pour le déploiement de code, ce qui nous a beaucoup aidés à identifier de manière proactive les vulnérabilités avant qu'elles n'atteignent un quelconque environnement. ### 11. Je pense que Semgrep est indispensable pour chaque entreprise de logiciels. **Rating:** 4.5/5.0 stars **Reviewed by:** Mahmoud H. | Information Security Intern, Marché intermédiaire (51-1000 employés) **Reviewed Date:** September 16, 2025 **Qu'aimez-vous le plus à propos de Semgrep?** Le fait qu'il puisse analyser les dépendances et qu'il ait tant de règles configurées sur place, avec une interface utilisateur très conviviale et facile à utiliser pour le SemGrep pro. **Que n’aimez-vous pas à propos de Semgrep?** Je pense que ce dont semgrep a besoin, c'est d'une fonctionnalité qui résume l'état global de sécurité d'un dépôt/projet. Et de permettre à l'utilisateur de pouvoir indiquer à la plateforme les liens entre différents dépôts, s'il y en a. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Je suis un responsable de la sécurité dans une entreprise avec plus de 300 dépôts. Le fait que semgrep puisse analyser sans effort toutes les lignes de code à chaque changement est incroyable pour moi. Cela rend mon travail tellement plus facile. ### 12. Des résultats précis et une interface utilisateur soignée de Semgrep **Rating:** 4.5/5.0 stars **Reviewed by:** Nitish U. | Product Security Lead, Sécurité informatique et réseau, Marché intermédiaire (51-1000 employés) **Reviewed Date:** April 13, 2026 **Qu'aimez-vous le plus à propos de Semgrep?** Exactitude, interface utilisateur. Assistant IA Semgrep. Matrice de portée SCA Semgrep **Que n’aimez-vous pas à propos de Semgrep?** Bugs, plantages. Problèmes fréquents dans les analyses PR. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** SAST, Revue de Code, Problèmes de Chaîne d'Approvisionnement ### 13. Améliorer la sécurité avec Semgrep **Rating:** 4.0/5.0 stars **Reviewed by:** Utilisateur vérifié à Logiciels informatiques | Marché intermédiaire (51-1000 employés) **Reviewed Date:** September 12, 2025 **Qu'aimez-vous le plus à propos de Semgrep?** Comme il fonctionne rapidement et s'intègre directement dans le CI/CD, mon équipe peut détecter les problèmes tôt — de l'utilisation de fonctions non sécurisées aux modèles mal configurés — avant qu'ils n'atteignent la production. **Que n’aimez-vous pas à propos de Semgrep?** Limiter les filtres et modifier certains paramètres au niveau global à l'aide de l'interface utilisateur. Disposer de filtres plus avancés et de contrôles au niveau des projets faciliterait la gestion des résultats à travers différents environnements et la priorisation des risques. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Le plus grand avantage pour nous est l'automatisation et la cohérence. En intégrant Semgrep dans les pipelines CI/CD, je peux imposer des pratiques de codage sécurisées à grande échelle et m'assurer que chaque demande de tirage est vérifiée pour les vulnérabilités courantes. Cela réduit la dépendance aux revues manuelles, diminue le risque que des bogues critiques passent en production, et me libère pour me concentrer sur des travaux de sécurité plus complexes comme les tests d'intrusion et la conception de la sécurité cloud. ### 14. Des résultats rapides et positifs **Rating:** 4.5/5.0 stars **Reviewed by:** Siddhesh J. | Senior Security Analyst & Consultant, Technologie de l'information et services, Marché intermédiaire (51-1000 employés) **Reviewed Date:** September 08, 2025 **Qu'aimez-vous le plus à propos de Semgrep?** Il y a plusieurs choses qui sont formidables dans l'outil SemGrep, premièrement, l'intégration facile avec GSM et le pipeline CI-CD, deuxièmement, le scan de code basé sur le terminal qui est facile et qui permet de gagner beaucoup de temps et d'intégrer si le code est petit. **Que n’aimez-vous pas à propos de Semgrep?** Pas spécifique en tant que tel, puisque tout est bon au bon prix. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** par rapport à d'autres outils, il donne des résultats meilleurs, plus rapides et précis en sortie, de plus, la suggestion d'outils et la fonction de correction seraient utiles pour un code long et complexe. ### 15. Analyse de code sans effort, mais des problèmes dynamiques peuvent passer inaperçus **Rating:** 2.5/5.0 stars **Reviewed by:** Andrew K. | Systems Administrator, Entreprise (> 1000 employés) **Reviewed Date:** October 21, 2025 **Qu'aimez-vous le plus à propos de Semgrep?** Notre entreprise a activé automatiquement l'analyse de notre code. Nous pouvons cliquer sur un lien et voir quels éléments doivent être traités. Je reçois une révision de mon code à chaque commit. **Que n’aimez-vous pas à propos de Semgrep?** Je peux cacher des problèmes de sécurité avec des variables et des méthodes chargées dynamiquement. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Problèmes de sécurité qui ont pu passer inaperçus ### 16. La configuration sans intervention ne pourrait pas être plus facile **Rating:** 4.5/5.0 stars **Reviewed by:** Utilisateur vérifié à Logiciels informatiques | Petite entreprise (50 employés ou moins) **Reviewed Date:** September 09, 2025 **Qu'aimez-vous le plus à propos de Semgrep?** Très peu de choses ont dû être faites de notre côté pour configurer des analyses gérées pour l'ensemble de l'organisation GitHub. À part le personnel de Semgrep qui a ajusté certaines choses pour qu'une analyse soit complétée, notre vaste base de code exécutait des analyses SAST en quelques jours. Les commentaires sur les PR GitHub montrent aux utilisateurs quoi faire, et l'IA peut classer correctement de nombreux rapports comme n'ayant pas besoin de mesures d'atténuation. **Que n’aimez-vous pas à propos de Semgrep?** Les fonctionnalités de Semgrep sont conçues pour empêcher l'introduction de nouveaux problèmes dans les pull requests, mais ces mêmes fonctionnalités ne sont pas disponibles pour les problèmes trouvés sur les branches principales - ceux-ci doivent être traités manuellement. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Identifier les failles de sécurité potentielles dans le code existant dans le cadre de la conformité aux certifications de sécurité. ### 17. Analyse de vulnérabilité perspicace, mais nécessite une analyse automatique **Rating:** 5.0/5.0 stars **Reviewed by:** Utilisateur vérifié à Semi-conducteurs | Entreprise (> 1000 employés) **Reviewed Date:** October 21, 2025 **Qu'aimez-vous le plus à propos de Semgrep?** L'outil fournit une analyse des vulnérabilités détectées dans le code et propose également des correctifs suggérés. Cette fonctionnalité est utile pour identifier les problèmes potentiels et comprendre comment les résoudre. **Que n’aimez-vous pas à propos de Semgrep?** Actuellement, je dois déclencher manuellement l'analyse chaque fois qu'une nouvelle détection se produit, mais je préférerais que l'analyse se fasse automatiquement dès que quelque chose est détecté. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Cet outil a été utile pour identifier les problèmes de sécurité dans mon code. Il m'aide à détecter des vulnérabilités que j'aurais pu autrement manquer. ### 18. Accélère la détection des bugs, mais la syntaxe des règles peut être limitante pour le code complexe. **Rating:** 4.0/5.0 stars **Reviewed by:** Utilisateur vérifié à Affaires internationales | Entreprise (> 1000 employés) **Reviewed Date:** October 21, 2025 **Qu'aimez-vous le plus à propos de Semgrep?** La meilleure chose à propos de Semgrep est qu'il aide à détecter les bugs et à appliquer les normes de code dès le début du développement, sans ralentir les ingénieurs. Il est rapide, compréhensible et s'intègre naturellement dans le flux de travail des développeurs. **Que n’aimez-vous pas à propos de Semgrep?** Mon principal reproche est que la syntaxe des règles de Semgrep peut sembler restrictive lorsqu'il s'agit de code dynamique ou de frameworks qui reposent fortement sur la métaprogrammation. C'est excellent pour les motifs simples, mais une analyse sémantique plus approfondie nécessite parfois plus d'efforts manuels. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Semgrep aide à détecter les bogues et les problèmes de sécurité tôt en exécutant une analyse statique rapide et personnalisable directement dans le flux de travail du développeur. Il m'aide à maintenir un code cohérent et sécurisé et permet de gagner du temps en évitant les corrections tardives. ### 19. Les règles flexibles et l'intégration avec GitHub brillent, mais il faut une meilleure segmentation des produits. **Rating:** 4.5/5.0 stars **Reviewed by:** Utilisateur vérifié à Soins hospitaliers et de santé | Entreprise (> 1000 employés) **Reviewed Date:** October 30, 2025 **Qu'aimez-vous le plus à propos de Semgrep?** Semgrep offre une plateforme unique pour les solutions SAST et SCA, ce qui est bien, mais la meilleure partie ce sont les règles semgrep qui sont si flexibles et faciles à écrire que vous n'avez pas besoin de faire manuellement le filtrage ou la suppression. L'outil a une autre fonctionnalité que j'aime personnellement : les actions GitHub qui montreront les bugs directement dans Git avec une version corrigée révisée par l'IA. **Que n’aimez-vous pas à propos de Semgrep?** Semgrep n'a pas de segmentation par produit, donc pour les organisations avec plusieurs produits, vous n'aurez que des projets et devrez utiliser des étiquettes pour catégoriser ces produits. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Il offre d'excellentes solutions SCA et SAST. ### 20. Interface propre et informations claires, mais la configuration peut être frustrante. **Rating:** 4.0/5.0 stars **Reviewed by:** Shuiab S. | EDA hardwarw engineer, Entreprise (> 1000 employés) **Reviewed Date:** October 21, 2025 **Qu'aimez-vous le plus à propos de Semgrep?** L'interface est extrêmement propre, et toutes les vulnérabilités sont clairement mises en évidence. **Que n’aimez-vous pas à propos de Semgrep?** La configuration du système pour la première fois a été assez frustrante, car j'ai dû demander l'assistance de l'agent informatique à plusieurs reprises. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Cet outil a été utile pour identifier les vulnérabilités dans le code et a aidé à résoudre les problèmes qui sont apparus en production. ### 21. Excellent outil pour la qualité et la sécurité du code. **Rating:** 5.0/5.0 stars **Reviewed by:** Utilisateur vérifié à Fabrication | Marché intermédiaire (51-1000 employés) **Reviewed Date:** October 22, 2025 **Qu'aimez-vous le plus à propos de Semgrep?** C'est un bon outil pour identifier les problèmes et la sécurité dans le code qui peuvent affecter la qualité et la sécurité. **Que n’aimez-vous pas à propos de Semgrep?** L'interface utilisateur n'est pas aussi efficace. De plus, la configuration du code crée certains problèmes. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Ce produit est excellent en ce qui concerne la manipulation. Je suis assez satisfait de la façon dont il gère les tâches. ### 22. Outil incroyable **Rating:** 5.0/5.0 stars **Reviewed by:** Utilisateur vérifié à Fabrication électrique/électronique | Entreprise (> 1000 employés) **Reviewed Date:** September 25, 2025 **Qu'aimez-vous le plus à propos de Semgrep?** L'outil offre toutes les fonctionnalités nécessaires pour suivre et gérer les vulnérabilités de sécurité. **Que n’aimez-vous pas à propos de Semgrep?** L'outil est extrêmement utile, avec toutes ses fonctionnalités fonctionnant exactement comme prévu. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Semgrep met en évidence tous les problèmes de sécurité présents dans les outils et propose également des solutions pour chacun d'eux. De plus, il fournit des explications pour aider à comprendre les problèmes et les correctifs recommandés. ### 23. Facile à utiliser et à mettre en œuvre—Fonctionne parfaitement ! **Rating:** 3.0/5.0 stars **Reviewed by:** Ryan M. | Software Application Development Engineer, Entreprise (> 1000 employés) **Reviewed Date:** October 21, 2025 **Qu'aimez-vous le plus à propos de Semgrep?** Facilité d'utilisation et d'implémentation dans votre dépôt GitHub. **Que n’aimez-vous pas à propos de Semgrep?** Rien, cela a très bien fonctionné pour moi et je n'ai eu aucun problème. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Il aide à l'analyse des vulnérabilités. ### 24. Intégrations sans effort et couverture impressionnante **Rating:** 5.0/5.0 stars **Reviewed by:** Arnau E. | Lead Security Engineer, Entreprise (> 1000 employés) **Reviewed Date:** October 21, 2025 **Qu'aimez-vous le plus à propos de Semgrep?** Facilité d'intégration, large couverture avec différents types d'offres. **Que n’aimez-vous pas à propos de Semgrep?** Les intégrations pourraient être meilleures, un peu d'effort manuel est nécessaire. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** SAST, Secrets, SCA. ### 25. Un outil SAST facile à utiliser et amusant à personnaliser **Rating:** 4.5/5.0 stars **Reviewed by:** Utilisateur vérifié à Logiciels informatiques | Petite entreprise (50 employés ou moins) **Reviewed Date:** December 04, 2024 **Qu'aimez-vous le plus à propos de Semgrep?** Que le moteur SAST renvoie un très petit nombre de faux positifs. Et les règles sont amusantes à écrire. J'aime aussi l'analyse de la portée de l'outil de chaîne d'approvisionnement pour que vous ne soyez pas submergé par des faux positifs. **Que n’aimez-vous pas à propos de Semgrep?** Il n'y a pas de fonctionnalité de rapport d'exportation. De plus, il serait utile d'avoir un commutateur pour indiquer à l'outil de chaîne d'approvisionnement de signaler toutes les dépendances vulnérables, indépendamment de leur accessibilité. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Aider à construire des produits sécurisés en écrivant un code plus sécurisé ### 26. Expérience avec Semgrep **Rating:** 5.0/5.0 stars **Reviewed by:** Utilisateur vérifié à Sécurité informatique et réseau | Entreprise (> 1000 employés) **Reviewed Date:** December 04, 2024 **Qu'aimez-vous le plus à propos de Semgrep?** La personnalisation facile, la création de règles personnalisées et le retour rapide pour les développeurs **Que n’aimez-vous pas à propos de Semgrep?** Plus de produits comme le scan IaC ou DAST, j'aimerais avoir des capacités complètes pour scanner les applications. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Déplacer les vulnérabilités vers la gauche ### 27. Juste une bonne façon de tester et de détecter la vulnérabilité de votre code. **Rating:** 4.5/5.0 stars **Reviewed by:** Abhineet S. | DevSecOps Engineer II, Marché intermédiaire (51-1000 employés) **Reviewed Date:** February 20, 2024 **Qu'aimez-vous le plus à propos de Semgrep?** J'aime le moteur SAST, il est puissant et capable avec un faible pourcentage de faux positifs. En dehors de cela, les règles intégrées pro et beaucoup d'autres le rendent facile à intégrer dans n'importe quel processus DevSecOps. **Que n’aimez-vous pas à propos de Semgrep?** Actuellement, la nouvelle offre comme SEMGREP AI et le gestionnaire de secrets ne s'additionne pas parfaitement. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Il s'agit de saisir les vulnérabilités essentielles, critiques et entachées dans la nature du code au quotidien, ce qui en fait une bonne manière de suivre les pratiques de décalage à gauche. ### 28. Parfait outil d'analyse de sécurité du code pour vérifier et éliminer les vulnérabilités **Rating:** 4.5/5.0 stars **Reviewed by:** Shivam J. | QA Engineer, Technologie de l'information et services, Marché intermédiaire (51-1000 employés) **Reviewed Date:** February 20, 2024 **Qu'aimez-vous le plus à propos de Semgrep?** Le moteur sast et le tableau de bord complet rendent tout magnifique et net. **Que n’aimez-vous pas à propos de Semgrep?** Je ne suis pas satisfait de la précision des outils d'intégration avec cela. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Faciliter le passage à gauche dans la sécurité et dans la gestion de la sécurité de la chaîne d'approvisionnement. ### 29. SAST et SCA simples mais puissants **Rating:** 4.0/5.0 stars **Reviewed by:** Utilisateur vérifié à Jeux informatiques | Marché intermédiaire (51-1000 employés) **Reviewed Date:** November 07, 2023 **Qu'aimez-vous le plus à propos de Semgrep?** - Facile à intégrer dans les workflows CICD et personnalisés - Les configurations CLI sont simples - Capacités de balayage puissantes - Prend en charge de nombreuses langues - L'analyse de la portée est utile - Stable et fiable **Que n’aimez-vous pas à propos de Semgrep?** - Ne gère pas correctement les caractères unicode à de nombreux endroits, si votre code contient des unicodes, alors semgrep peut planter - Pas d'interface graphique pour la version OSS, ils devraient au moins fournir une interface graphique de base pour la version OSS **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Semgrep nous aide à identifier les vulnérabilités dès les premières étapes du développement en identifiant continuellement les vulnérabilités dans notre base de code et en mettant en évidence les bibliothèques OSS vulnérables utilisées. ### 30. Un outil d'analyse statique transparent **Rating:** 5.0/5.0 stars **Reviewed by:** Kiko E. | Engineering Manager, Marché intermédiaire (51-1000 employés) **Reviewed Date:** February 22, 2023 **Qu'aimez-vous le plus à propos de Semgrep?** Une des choses que j'aime le plus à propos de Semgrep est sa facilité d'utilisation. En tant qu'outil d'analyse statique, il a la réputation d'être intimidant ou difficile à intégrer dans les flux de travail existants. Mais avec Semgrep, les développeurs n'ont pas à s'en soucier du tout. Il s'intègre parfaitement avec de nombreux éditeurs de code populaires, systèmes de contrôle de version et outils d'intégration continue. Cela signifie qu'il est très facile à configurer et à commencer à utiliser pour détecter les vulnérabilités de sécurité potentielles, les problèmes de performance et d'autres problèmes de qualité de code. Mais ce qui est vraiment cool avec Semgrep, c'est qu'il donne l'impression d'être un outil conçu avec les développeurs à l'esprit. Les règles préconstruites sont incroyablement complètes et couvrent un large éventail de problèmes potentiels. Mais si vous avez besoin de les personnaliser pour votre projet, c'est facile à faire. Et si jamais vous êtes bloqué, la communauté est toujours là pour vous aider. Dans l'ensemble, Semgrep est un outil puissant qui peut aider les développeurs à améliorer la qualité de leur code. Mais plus important encore, il donne l'impression d'être un outil conçu pour nous faciliter la vie. Et qui n'aime pas ça ? **Que n’aimez-vous pas à propos de Semgrep?** Comme tout outil, Semgrep présente certains inconvénients potentiels à prendre en compte. En voici quelques-uns : Courbe d'apprentissage : Bien que Semgrep soit généralement considéré comme convivial et facile à utiliser, il y a tout de même une courbe d'apprentissage pour l'utilisation de tout nouvel outil. Certains développeurs peuvent avoir besoin de passer du temps à se familiariser avec la syntaxe de Semgrep et à apprendre à écrire et modifier des règles. Faux positifs/négatifs : Comme tout outil d'analyse statique, Semgrep peut générer des faux positifs (c'est-à-dire signaler du code comme problématique alors qu'il ne l'est pas) ou des faux négatifs (c'est-à-dire ne pas signaler du code problématique). Cela peut être frustrant et nécessiter un temps et des efforts supplémentaires pour être résolu. Consommation de ressources : Selon la taille de votre base de code, l'exécution de Semgrep peut être gourmande en ressources et ralentir votre processus de développement. Il est important de prendre cela en compte lors de l'intégration de Semgrep dans votre flux de travail et de s'assurer que votre matériel et votre infrastructure peuvent le supporter. Dans l'ensemble, ces inconvénients potentiels sont relativement mineurs par rapport aux avantages que Semgrep peut offrir. Cependant, il est important de prendre en compte ces facteurs lors de la décision d'utiliser ou non Semgrep pour votre projet. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Le problème que Semgrep résout est qu'il peut être difficile pour les développeurs de revoir manuellement le code pour détecter des problèmes potentiels. Avec des bases de code qui ne cessent de croître et de changer, il peut être facile de manquer des problèmes potentiels ou d'en introduire de nouveaux. Semgrep automatise ce processus et permet aux développeurs d'identifier et de résoudre rapidement les problèmes potentiels avant qu'ils ne deviennent des problèmes plus importants. ### 31. Outil d'analyse de code statique libre et open-source **Rating:** 4.5/5.0 stars **Reviewed by:** Dhaval D. | Petite entreprise (50 employés ou moins) **Reviewed Date:** June 27, 2023 **Qu'aimez-vous le plus à propos de Semgrep?** -L'installation est assez simple -Prend en charge presque tous les langages de programmation -Les analyses sont relativement plus rapides que d'autres outils d'analyse de code statique -Dans certains cas, j'ai remarqué que les résultats/constats de Semgrep étaient plus précis **Que n’aimez-vous pas à propos de Semgrep?** -Il y avait pas mal de faux positifs aussi -D'autres outils tels que Sonarqube ont plus de fonctionnalités et fournissent des rapports détaillés -Le dépannage peut être difficile **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Dans mon cas, j'utilise Semgrep pour trouver les bogues initiaux dans mon code et cela fonctionne presque parfaitement dans presque tous les cas et transmettre le rapport au testeur pour déboguer davantage et corriger les mêmes problèmes. ### 32. Produit de qualité incroyable et abordable pour les PME avec une excellente équipe de support et une communauté ! **Rating:** 5.0/5.0 stars **Reviewed by:** Stéphane S. | Petite entreprise (50 employés ou moins) **Reviewed Date:** May 29, 2023 **Qu'aimez-vous le plus à propos de Semgrep?** Semgrep nous a aidés en un rien de temps à cibler les vulnérabilités importantes et à nous concentrer sur ce qui compte grâce à Semgrep Supply Chain. C'est le produit avec le meilleur retour sur investissement que je recommanderais d'ajouter à votre SSDLC. Il est rapide, extensible et personnalisable, avec une interface en ligne de commande pratique. **Que n’aimez-vous pas à propos de Semgrep?** Intégration Bitbucket / Jira moins avancée par rapport à GitHub mais rattrapant rapidement ! **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Nous nous assurons de maintenir la conformité en matière de cybersécurité et de garantir la sécurité des données que nous traitons. Semgrep Supply Chain garantit que nous nous concentrons d'abord sur les problèmes de sécurité les plus importants. ### 33. Un SAST hautement personnalisable **Rating:** 5.0/5.0 stars **Reviewed by:** Utilisateur vérifié à Services financiers | Marché intermédiaire (51-1000 employés) **Reviewed Date:** March 24, 2023 **Qu'aimez-vous le plus à propos de Semgrep?** Semgrep est un outil d'analyse de code statique facile à utiliser et hautement personnalisable. Son interface intuitive et sa bibliothèque de règles flexibles rendent l'exécution de scans sur n'importe quelle base de code sans effort, grande ou petite. Avec sa communauté active de contributeurs et sa nature open-source, Semgrep est un outil essentiel pour les développeurs cherchant à améliorer rapidement et efficacement la qualité et la sécurité du code. **Que n’aimez-vous pas à propos de Semgrep?** Je n'ai pas rencontré de problèmes majeurs en utilisant le produit jusqu'à présent. Pendant l'intégration, j'ai rencontré quelques problèmes mineurs d'interface utilisateur, mais ils n'ont pas eu d'impact significatif sur mon expérience globale. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Cela aide à identifier les problèmes potentiels avant qu'ils ne deviennent des problèmes majeurs, économisant ainsi du temps et des ressources à long terme. En trouvant et en corrigeant les problèmes dès le début du processus de développement, les développeurs peuvent améliorer la qualité globale de la base de code et réduire la probabilité de problèmes futurs. ### 34. Semgrep - avenir du SAST **Rating:** 5.0/5.0 stars **Reviewed by:** Aleksandr K. | Marché intermédiaire (51-1000 employés) **Reviewed Date:** February 22, 2023 **Qu'aimez-vous le plus à propos de Semgrep?** l'analyse contextuelle qui permet à un ingénieur en sécurité de voir de véritables métriques sur les vulnérabilités dans le code. Son offre d'IaC montre à quel point elle peut être contextuelle avec ses flux de données personnalisés. **Que n’aimez-vous pas à propos de Semgrep?** Il est difficile de nommer quelque chose en particulier, mais la chose qui est difficile est de s'intégrer à cela. Il y a certainement une courbe d'apprentissage pour commencer à écrire vos propres règles. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Toutes les choses liées à la sécurité du code : mettre des garde-fous de sécurité pour les développeurs au stade pré-commit, s'assurer qu'aucun secret n'est jamais commis, garder nos fichiers de verrouillage avec les bibliothèques à jour. ### 35. Un changement radical pour la sécurité des applications **Rating:** 5.0/5.0 stars **Reviewed by:** Utilisateur vérifié à Technologie de l'information et services | Marché intermédiaire (51-1000 employés) **Reviewed Date:** December 30, 2022 **Qu'aimez-vous le plus à propos de Semgrep?** La chaîne d'approvisionnement Semgrep est une aubaine pour les équipes de sécurité des applications et des produits. Soutenue par le moteur Semgrep déjà solide, elle peut rapidement mettre en évidence des vulnérabilités qui sont *réellement* des vulnérabilités et améliore matériellement notre gestion de la sécurité et des risques. J'ai l'impression qu'elle m'a donné de nouveaux superpouvoirs. Je recommanderais cela à toute équipe de sécurité, ainsi que le produit de base. Plus important encore, les ingénieurs et l'équipe de support de r2c sont de premier ordre. Ils sont incroyablement solidaires et réactifs, et j'ai eu l'impression d'être leur client le plus important à chaque étape. **Que n’aimez-vous pas à propos de Semgrep?** Il y a très peu d'inconvénients auxquels je peux penser, mais l'un d'eux est la capacité à étendre ou à modéliser les règles existantes. Les règles de base et les ensembles de règles sont bons mais peuvent produire des faux positifs sans personnalisation. J'aimerais que Semgrep offre un moyen de personnaliser davantage les règles et d'ajouter des couches de spécificité qui augmentent la précision. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Semgrep nous fait gagner d'innombrables heures de travail manuel et de labeur. Il nous permet de multiplier notre impact, de "déplacer à gauche" et de libérer un temps précieux que nous pouvons utiliser pour nous concentrer sur des efforts de sécurité à plus fort impact. Je ne peux pas imaginer gérer un programme de sécurité sans lui. ### 36. Semgrep est extrêmement personnalisable, efficace et évolutif. **Rating:** 4.5/5.0 stars **Reviewed by:** Utilisateur vérifié à Assurances | Marché intermédiaire (51-1000 employés) **Reviewed Date:** December 16, 2022 **Qu'aimez-vous le plus à propos de Semgrep?** La personnalisation aide les équipes à se déplacer vers la gauche. Je peux créer mes propres règles pour éviter les faux positifs et décider quelles règles bloquent, commentent ou se contentent de surveiller. Cela aide à réduire le bruit, facilite la correction immédiate des problèmes par les développeurs de logiciels et empêche les vulnérabilités d'atteindre la production. **Que n’aimez-vous pas à propos de Semgrep?** Je ne peux pas exécuter différents ensembles de règles à différents moments. J'aimerais avoir la possibilité d'exécuter un certain sous-ensemble de règles dans un pipeline CI/CD pour empêcher le déploiement de résultats à haute fidélité en production ; tout en exécutant également un ensemble plus large de meilleures pratiques et de règles à faible fidélité dans un pipeline séparé pour nous aider à former et à corriger des problèmes moins préoccupants qui sont plus complexes en tant que dette technique. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Sécuriser le code grâce à l'analyse statique du code de manière efficace dans le pipeline CI/CD. Semgrep place les résultats directement dans les commentaires des PR, évitant ainsi aux développeurs de logiciels d'accéder à un outil différent. Nous sommes capables de personnaliser les règles pour vérifier les éléments qui nous importent et qui sont plus uniques à notre base de code. ### 37. Les règles personnalisées de Semgrep sont la fonctionnalité SAST ultime. **Rating:** 5.0/5.0 stars **Reviewed by:** Utilisateur vérifié à Logiciels informatiques | Marché intermédiaire (51-1000 employés) **Reviewed Date:** December 08, 2022 **Qu'aimez-vous le plus à propos de Semgrep?** Les règles personnalisées et la possibilité de bifurquer et de modifier les règles existantes rendent Semgrep beaucoup plus précieux en tant qu'outil SAST. Pour certaines règles, quelques "pattern-not" supplémentaires ont réduit notre taux de faux positifs de 30 %. Ce genre de chose est facile avec Semgrep et pratiquement impossible avec tous les autres outils SAST que j'ai utilisés. De nombreux autres fournisseurs prétendent que vous n'avez pas besoin de cette capacité avec leurs outils, car ils ont des équipes de personnes qui améliorent déjà leur taux de faux positifs. En réalité, j'ai trouvé que l'approche de Semgrep fonctionne beaucoup mieux pour réduire les résultats erronés. **Que n’aimez-vous pas à propos de Semgrep?** L'application Semgrep est encore visiblement immature. Il y a de nombreux petits bugs autour de l'éditeur, de la création de règles privées et du tableau des règles. Je n'en ai pas trouvé sans une sorte de solution de contournement jusqu'à présent, et l'équipe de support de R2C est extrêmement réactive. En fin de compte, les avantages de centraliser la gestion de vos règles et d'avoir une vue d'ensemble pour voir toutes les découvertes valent l'interface utilisateur parfois boguée et les fonctionnalités manquantes (comme l'incapacité de supprimer des règles publiées via le CLI). **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Semgrep résout l'analyse statique pour nous. Nous l'utilisons dans tous nos dépôts et utilisons des règles personnalisées pour détecter les erreurs courantes que notre équipe commet. Comparé à notre outil SAST précédent (Veracode), Semgrep effectue des analyses beaucoup plus rapidement, et nos développeurs apprécient la facilité avec laquelle il est possible de trier les résultats. ### 38. Facile à étendre avec des règles personnalisées mais confronté à de nombreux bugs. **Rating:** 4.0/5.0 stars **Reviewed by:** Utilisateur vérifié à Services financiers | Marché intermédiaire (51-1000 employés) **Reviewed Date:** December 13, 2022 **Qu'aimez-vous le plus à propos de Semgrep?** Facile d'ajouter des règles personnalisées (par exemple, en utilisant l'éditeur de règles en ligne). De plus, l'application Semgrep possède des fonctionnalités agréables et pratiques (comme le dépôt de règles privé). **Que n’aimez-vous pas à propos de Semgrep?** La plupart des fonctionnalités payantes de Semgrep peuvent être contournées avec la version open source (par exemple, en utilisant un dépôt git privé pour stocker des règles privées), donc je ne suis pas sûr à 100 % que la licence Semgrep Team et l'ensemble de l'application Semgrep soient suffisamment matures pour justifier le prix. De plus, nous avons rencontré de nombreux bugs depuis que nous avons commencé à le déployer au sein de l'organisation. La bonne nouvelle est que le support Semgrep est réactif (bien qu'avec un décalage horaire de 9 heures) ; la mauvaise nouvelle est que j'ai constamment besoin de leur aide car je trouve 1 à 2 nouveaux bugs chaque semaine. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Empêcher les secrets et le code vulnérable d'être commis dans les dépôts git en exécutant Semgrep automatiquement dans le cadre de notre pipeline CI/CD. ### 39. Semgrep fonctionne très bien dans les environnements Devsecops. **Rating:** 5.0/5.0 stars **Reviewed by:** Jovin L. | Application Security Lead, Entreprise (> 1000 employés) **Reviewed Date:** December 08, 2022 **Qu'aimez-vous le plus à propos de Semgrep?** Semgrep est rapide et nous permet d'écrire des règles supplémentaires très facilement. Cela le rend très efficace, et il y a un support pour de nombreuses langues. Le tableau de bord est convivial et il est facile de rechercher les résultats signalés. **Que n’aimez-vous pas à propos de Semgrep?** Semgrep ne montre pas de corrélation avec plusieurs fichiers. Par exemple, si une entrée n'est pas filtrée et est reflétée sur une autre page où elle serait rendue, il serait difficile de l'identifier dans Semgrep. Avoir un moyen de corrélation entre plusieurs fichiers serait formidable. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Semgrep permet d'exécuter un grand nombre de scans sur un vaste ensemble de dépôts. Cela aide dans un environnement devsecops. ### 40. Bien mieux que n'importe quel autre outil *tousse* verracode *tousse* **Rating:** 4.5/5.0 stars **Reviewed by:** Garry P. | Staff Software Engineer, Marché intermédiaire (51-1000 employés) **Reviewed Date:** December 13, 2022 **Qu'aimez-vous le plus à propos de Semgrep?** C'est très facile à utiliser et ne gêne pas. La capacité de créer des règles personnalisées et d'ignorer facilement les règles existantes rend cet outil remarquable par rapport à tous les autres outils d'analyse statique que j'ai utilisés jusqu'à présent. **Que n’aimez-vous pas à propos de Semgrep?** Honnêtement, il n'y a pas grand-chose que je n'aime pas. Peut-être que ce serait bien d'avoir des boutons interagissant directement avec les commentaires github ? **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** C'est résoudre une gamme de problèmes : * Vérifications de sécurité (par exemple, pas de compartiments S3 ouverts) * Qualité du code (par exemple, ne pas imbriquer des boucles for ou des conditionnels) * Vérification de l'infrastructure via des vérifications Terraform ### 41. Semgrep est un atout avec la gestion continue et le suivi des vulnérabilités ouvertes. **Rating:** 4.5/5.0 stars **Reviewed by:** Utilisateur vérifié à Services financiers | Entreprise (> 1000 employés) **Reviewed Date:** December 15, 2022 **Qu'aimez-vous le plus à propos de Semgrep?** Utile pour suivre les vulnérabilités ouvertes, par dépôt, jusqu'à ce qu'elles soient fermées. Je trouve la possibilité de créer une configuration de vulnérabilité personnalisée manuellement très utile, pour étendre la fonctionnalité au-delà des vulnérabilités qui pourraient être détectées par les modèles de configuration disponibles existants. **Que n’aimez-vous pas à propos de Semgrep?** Je pense que les résultats pourraient être améliorés. Il y a une limite à ce que les outils d'analyse statique peuvent extraire du code, et c'est probablement la limitation de la technologie elle-même, plutôt que celle de semgrep. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Identifier les mauvais schémas dans le code très tôt pendant le cycle de développement. Il y a certains schémas de codage que semgrep détecte, qui pourraient conduire à des problèmes de sécurité plus profonds ou critiques plus tard. ### 42. Facile à utiliser et puissant **Rating:** 4.5/5.0 stars **Reviewed by:** Utilisateur vérifié à Technologie de l'information et services | Entreprise (> 1000 employés) **Reviewed Date:** December 29, 2022 **Qu'aimez-vous le plus à propos de Semgrep?** Très facile à utiliser, peu importe la langue que vous utilisez. Contrairement aux outils d'analyse de code statique plus anciens, il n'est pas nécessaire de passer beaucoup de temps à apprendre les types de règles et les syntaxes ; de nouvelles règles peuvent être créées et testées très rapidement. De plus, les résultats sont de haute qualité. **Que n’aimez-vous pas à propos de Semgrep?** Le soutien communautaire n'est pas aussi développé car ils sont assez nouveaux. L'étendue des règles et des intégrations n'est pas aussi vaste que certains autres outils. Cependant, cela s'améliore rapidement et les règles présentes ont beaucoup moins de faux positifs. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Nous utilisons semgrep dans le cadre de notre processus d'analyse statique du code. Nous utilisons une combinaison de règles communautaires et personnalisées pour répondre à nos besoins. Cela nous aide à automatiser la recherche de correspondances de motifs courants à surveiller. ### 43. Semgrep nous a aidés à détecter des bogues de sécurité tout en faisant évoluer et en soutenant nos processus de révision de code. **Rating:** 5.0/5.0 stars **Reviewed by:** Utilisateur vérifié à Logiciels informatiques | Entreprise (> 1000 employés) **Reviewed Date:** December 08, 2022 **Qu'aimez-vous le plus à propos de Semgrep?** Le langage de règles puissant et le moteur de Semgrep allient convivialité et flexibilité. Le fait que les développeurs puissent écrire leurs propres règles dans Semgrep sans savoir exactement comment Semgrep fonctionne nous a aidés à étendre notre déploiement. **Que n’aimez-vous pas à propos de Semgrep?** Sans ajustement fin, Semgrep (comme tout SAST) peut être assez bruyant. Je sais qu'ils ont travaillé sur la mise en avant des retours des développeurs aux rédacteurs et mainteneurs de règles, mais j'aimerais qu'il y ait un moyen plus évolutif de réduire le bruit (par exemple, des suggestions de modification de règles basées sur les endroits où les développeurs signalent des faux positifs). **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Nous voulions mettre en avant des informations sur la sécurité aux développeurs lorsqu'ils en avaient besoin lors de la révision de code. Semgrep nous aide à le faire. ### 44. Superbe SAST dirigé par la communauté **Rating:** 5.0/5.0 stars **Reviewed by:** Utilisateur vérifié à Services financiers | Marché intermédiaire (51-1000 employés) **Reviewed Date:** December 08, 2022 **Qu'aimez-vous le plus à propos de Semgrep?** On nous a vendu l'idée que Semgrep était basé sur Python et que les détections étaient dirigées par la communauté, tout en nous offrant la possibilité d'écrire des détections personnalisées. **Que n’aimez-vous pas à propos de Semgrep?** Rien de particulier. Si quelque chose, j'aimerais que Semgrep ajoute des fonctionnalités similaires à GitHub Dependabot / Snyk afin que nous puissions gérer plus de contrôles autour de notre code source via un seul fournisseur. La dernière fonctionnalité de chaîne d'approvisionnement est une nouvelle addition. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Notre analyse statique a besoin - en particulier des contrôles personnalisés. Auparavant, nous avions développé notre propre outil SAST, mais à mesure que l'entreprise grandissait, nous avons décidé de passer à quelque chose de commercial et de plus robuste. ### 45. Aucun endroit pour les faux positifs **Rating:** 5.0/5.0 stars **Reviewed by:** Avinash S. | Security Lead, Marché intermédiaire (51-1000 employés) **Reviewed Date:** December 08, 2022 **Qu'aimez-vous le plus à propos de Semgrep?** C'est l'intégration la plus efficace et la plus simple à utiliser pour SAST. Gratuit et dirigé par la communauté Les discussions sur les canaux Slack offrent une aide précieuse et des perspectives. **Que n’aimez-vous pas à propos de Semgrep?** Rien de majeur. Il évolue dans la bonne direction. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Principalement l'élimination de l'utilisation de plusieurs scanners SAST en un seul. ### 46. Semgrep est le meilleur de sa catégorie pour sa personnalisation, sa facilité d'utilisation et son support. **Rating:** 4.0/5.0 stars **Reviewed by:** Utilisateur vérifié à Technologie de l'information et services | Entreprise (> 1000 employés) **Reviewed Date:** December 08, 2022 **Qu'aimez-vous le plus à propos de Semgrep?** Semgrep rend vraiment facile l'écriture de règles. C'est vraiment simple et l'interface utilisateur vous permet également d'obtenir facilement des retours sur les règles. Le tableau de bord est également pratique et simple à utiliser. Le support client est également assez incroyable, car ils vous aideront lors d'une réunion avec les problèmes que vous pourriez avoir avec la mise en œuvre. **Que n’aimez-vous pas à propos de Semgrep?** Le binaire a été bogué dans le passé et a nécessité un certain débogage et des correctifs pour fonctionner correctement. Cependant, l'équipe de Semgrep a été utile tout au long du processus. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** C'est un moyen fantastique d'intégrer l'analyse statique du code dans votre pipeline CI/CD. L'intégration s'intègre parfaitement à votre environnement GitHub et offre une interface épurée pour les ingénieurs. ### 47. Analyse SAST rapide et efficace et vérification des dépendances **Rating:** 4.5/5.0 stars **Reviewed by:** Utilisateur vérifié à Services financiers | Marché intermédiaire (51-1000 employés) **Reviewed Date:** December 09, 2022 **Qu'aimez-vous le plus à propos de Semgrep?** Super facile à mettre en œuvre et à gérer. Intégration transparente dans notre pipeline CI, et ne gêne les développeurs que lorsque c'est nécessaire. Les tests de connectivité des dépendances sont agréables. **Que n’aimez-vous pas à propos de Semgrep?** Pas grand-chose à détester. Le scan de la chaîne d'approvisionnement/dépendance est nouveau et nécessitera plus de règles pour la portée, mais celles-ci sont progressivement en cours de construction. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Semgrep agit comme une barrière efficace, permettant aux développeurs d'écrire du code et d'être guidés lorsque des vulnérabilités potentielles sont introduites. ### 48. Bon ensemble de règles, mais un tas de faux positifs **Rating:** 3.5/5.0 stars **Reviewed by:** Utilisateur vérifié à Logiciels informatiques | Entreprise (> 1000 employés) **Reviewed Date:** December 09, 2022 **Qu'aimez-vous le plus à propos de Semgrep?** Les avantages sont que l'analyse de code est très rapide et que l'ensemble des règles est complet. La gestion des règles sur le tableau des règles est également très facile. Les intégrations et les webhooks sont un plus. **Que n’aimez-vous pas à propos de Semgrep?** Les inconvénients sont que le nombre de faux positifs pour certaines des règles est énorme en raison de l'absence de support de suivi de contamination pour PHP. Améliorer cet ensemble de règles ou ajouter le suivi de contamination pour PHP serait très utile. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Semgrep nous aide à analyser notre code PHP pour détecter les vulnérabilités de première partie. Le bénéfice le plus tangible est l'amélioration des normes de codage. Leur produit SCA est également très intéressant. ### 49. Excellent outil pour identifier les vulnérabilités de sécurité dans votre application **Rating:** 4.0/5.0 stars **Reviewed by:** Utilisateur vérifié à Biotechnologie | Marché intermédiaire (51-1000 employés) **Reviewed Date:** December 12, 2022 **Qu'aimez-vous le plus à propos de Semgrep?** Excellente analyse des vulnérabilités avec la capacité de revoir, classer et mettre à jour le statut de chaque incident. **Que n’aimez-vous pas à propos de Semgrep?** Ce serait formidable si Semgrep effectuait une analyse statique plus approfondie pour couvrir les mauvaises pratiques de code et la couverture de code, en plus de la sécurité. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Il fournit des informations sur les vulnérabilités de sécurité au sein de notre application. ### 50. Scanner efficace, efficient et respectueux de l'environnement **Rating:** 5.0/5.0 stars **Reviewed by:** Utilisateur vérifié à Assurances | Marché intermédiaire (51-1000 employés) **Reviewed Date:** December 14, 2022 **Qu'aimez-vous le plus à propos de Semgrep?** C'est un outil super personnalisable, rapide et efficace à avoir comme scanner en ligne dans le pipeline CI/CD. **Que n’aimez-vous pas à propos de Semgrep?** Rien de vraiment - le support est incroyable et bien qu'ils soient encore au début du développement de leur suite de produits, ils sont très réceptifs aux retours. **Quels sont les problèmes que Semgrep résout, et en quoi cela vous est-il bénéfique?** Déplacer la sécurité vers la gauche de manière conviviale pour les ingénieurs - [View Semgrep pricing details and edition comparison](https://www.g2.com/fr/products/semgrep/reviews?section=pricing&secure%5Bexpires_at%5D=2026-05-14+14%3A03%3A39+-0500&secure%5Bsession_id%5D=4e7ebf6a-6187-4378-927c-09196cda4bca&secure%5Btoken%5D=7ef25c372034fb9aa79ae854541a3d5c0e812212be6d9951f25b981a58fb9941&format=llm_user) ## Semgrep Integrations - [Azure DevOps Labs](https://www.g2.com/fr/products/azure-devops-labs/reviews) - [Azure Pipelines](https://www.g2.com/fr/products/azure-pipelines/reviews) - [Bitbucket](https://www.g2.com/fr/products/bitbucket/reviews) - [Cursor](https://www.g2.com/fr/products/cursor/reviews) - [Git](https://www.g2.com/fr/products/git/reviews) - [GitHub](https://www.g2.com/fr/products/github/reviews) - [Jira](https://www.g2.com/fr/products/jira/reviews) - [Slack](https://www.g2.com/fr/products/slack/reviews) - [Visual Studio Code](https://www.g2.com/fr/products/visual-studio-code/reviews) ## Semgrep Features **Administration** - API / Intégrations - Extensibilité **Performance** - Suivi des problèmes - Taux de détection - Faux positifs - Analyses automatisées **Fonctionnalité - Analyse de la composition du logiciel** - Prise en charge linguistique - Intégration - transparence **Documentation** - Vos commentaires - Établissement des priorités - Suggestions de correction **Analyse de code statique par l'IA agentique** - Apprentissage adaptatif - Interaction en Langage Naturel - Assistance proactive **Performance - Assistants AI pour la sécurité des applications** - Remédiation - Détection des vulnérabilités en temps réel - Précision **Analyse** - Rapports et analyses - Suivi des problèmes - Analyse de code statique - Analyse du code **Analyse** - Rapports et analyses - Suivi des problèmes - Analyse de code statique - Analyse des vulnérabilités - Analyse du code **Réseau** - Tests de conformité - Balayage du périmètre - Surveillance de la configuration **Efficacité - Analyse de la composition du logiciel** - Suggestions de correction - Surveillance continue - Détection approfondie **Sécurité** - Faux positifs - Conformité personnalisée - Agilité **Intégration - Assistants AI pour la sécurité des applications** - Intégration de la pile - Intégration de flux de travail - Conscience contextuelle du codebase **Test** - Outils en ligne de commande - Tests de conformité - Numérisation en boîte noire - Taux de détection - Faux positifs **Test** - Numérisation en boîte noire - Taux de détection - Faux positifs **Application** - Analyse de code statique - Test de boîte noire **Agentic AI - Test de sécurité des applications interactives (IAST)** - Exécution autonome des tâches **Agentic AI - Scanner de vulnérabilités** - Exécution autonome des tâches - Assistance proactive **Agentic AI - Test de sécurité des applications statiques (SAST)** - Exécution autonome des tâches ## Top Semgrep Alternatives - [SonarQube](https://www.g2.com/fr/products/sonarqube/reviews) - 4.4/5.0 (138 reviews) - [Snyk](https://www.g2.com/fr/products/snyk/reviews) - 4.5/5.0 (132 reviews) - [GitHub](https://www.g2.com/fr/products/github/reviews) - 4.7/5.0 (2,278 reviews)