Avis et détails du produit Semgrep

Très facile à utiliser, peu importe la langue que vous utilisez. Contrairement aux outils d'analyse de code statique plus anciens, il n'est pas nécessaire de passer beaucoup de temps à apprendre les types de règles et les syntaxes ; de nouvelles règles peuvent être créées et testées très rapidement. De plus, les résultats sont de haute qualité. Avis collecté par et hébergé sur G2.com.

Le soutien communautaire n'est pas aussi développé car ils sont assez nouveaux. L'étendue des règles et des intégrations n'est pas aussi vaste que certains autres outils. Cependant, cela s'améliore rapidement et les règles présentes ont beaucoup moins de faux positifs. Avis collecté par et hébergé sur G2.com.

Le langage de règles puissant et le moteur de Semgrep allient convivialité et flexibilité. Le fait que les développeurs puissent écrire leurs propres règles dans Semgrep sans savoir exactement comment Semgrep fonctionne nous a aidés à étendre notre déploiement. Avis collecté par et hébergé sur G2.com.

Sans ajustement fin, Semgrep (comme tout SAST) peut être assez bruyant. Je sais qu'ils ont travaillé sur la mise en avant des retours des développeurs aux rédacteurs et mainteneurs de règles, mais j'aimerais qu'il y ait un moyen plus évolutif de réduire le bruit (par exemple, des suggestions de modification de règles basées sur les endroits où les développeurs signalent des faux positifs). Avis collecté par et hébergé sur G2.com.

On nous a vendu l'idée que Semgrep était basé sur Python et que les détections étaient dirigées par la communauté, tout en nous offrant la possibilité d'écrire des détections personnalisées. Avis collecté par et hébergé sur G2.com.

Rien de particulier. Si quelque chose, j'aimerais que Semgrep ajoute des fonctionnalités similaires à GitHub Dependabot / Snyk afin que nous puissions gérer plus de contrôles autour de notre code source via un seul fournisseur. La dernière fonctionnalité de chaîne d'approvisionnement est une nouvelle addition. Avis collecté par et hébergé sur G2.com.

C'est l'intégration la plus efficace et la plus simple à utiliser pour SAST.

Gratuit et dirigé par la communauté

Les discussions sur les canaux Slack offrent une aide précieuse et des perspectives. Avis collecté par et hébergé sur G2.com.

Rien de majeur. Il évolue dans la bonne direction. Avis collecté par et hébergé sur G2.com.

Semgrep rend vraiment facile l'écriture de règles. C'est vraiment simple et l'interface utilisateur vous permet également d'obtenir facilement des retours sur les règles. Le tableau de bord est également pratique et simple à utiliser. Le support client est également assez incroyable, car ils vous aideront lors d'une réunion avec les problèmes que vous pourriez avoir avec la mise en œuvre. Avis collecté par et hébergé sur G2.com.

Le binaire a été bogué dans le passé et a nécessité un certain débogage et des correctifs pour fonctionner correctement. Cependant, l'équipe de Semgrep a été utile tout au long du processus. Avis collecté par et hébergé sur G2.com.

Super facile à mettre en œuvre et à gérer. Intégration transparente dans notre pipeline CI, et ne gêne les développeurs que lorsque c'est nécessaire. Les tests de connectivité des dépendances sont agréables. Avis collecté par et hébergé sur G2.com.

Pas grand-chose à détester. Le scan de la chaîne d'approvisionnement/dépendance est nouveau et nécessitera plus de règles pour la portée, mais celles-ci sont progressivement en cours de construction. Avis collecté par et hébergé sur G2.com.

Les avantages sont que l'analyse de code est très rapide et que l'ensemble des règles est complet. La gestion des règles sur le tableau des règles est également très facile. Les intégrations et les webhooks sont un plus. Avis collecté par et hébergé sur G2.com.

Les inconvénients sont que le nombre de faux positifs pour certaines des règles est énorme en raison de l'absence de support de suivi de contamination pour PHP. Améliorer cet ensemble de règles ou ajouter le suivi de contamination pour PHP serait très utile. Avis collecté par et hébergé sur G2.com.

Excellente analyse des vulnérabilités avec la capacité de revoir, classer et mettre à jour le statut de chaque incident. Avis collecté par et hébergé sur G2.com.

Ce serait formidable si Semgrep effectuait une analyse statique plus approfondie pour couvrir les mauvaises pratiques de code et la couverture de code, en plus de la sécurité. Avis collecté par et hébergé sur G2.com.

C'est un outil super personnalisable, rapide et efficace à avoir comme scanner en ligne dans le pipeline CI/CD. Avis collecté par et hébergé sur G2.com.

Rien de vraiment - le support est incroyable et bien qu'ils soient encore au début du développement de leur suite de produits, ils sont très réceptifs aux retours. Avis collecté par et hébergé sur G2.com.

Il fonctionne très rapidement et produit systématiquement certains des résultats de la plus haute qualité et les plus pertinents que j'ai vus en comparaison avec d'autres options. Avis collecté par et hébergé sur G2.com.

L'application web pourrait être améliorée, mais ils se concentrent sur des améliorations rapides. Avis collecté par et hébergé sur G2.com.