# Semgrep Reviews **Vendor:** Semgrep **Category:** [Strumenti di Analisi della Composizione del Software](https://www.g2.com/it/categories/software-composition-analysis) **Average Rating:** 4.6/5.0 **Total Reviews:** 55 ## About Semgrep Semgrep è una piattaforma moderna di analisi statica (SAST), analisi della composizione del software (SCA) e rilevamento di segreti progettata sia per gli sviluppatori che per i team di sicurezza. Combina un'analisi veloce e deterministica con un'IA consapevole del contesto che gestisce i risultati come un ingegnere della sicurezza senior. L'Assistente AI aiuta a ridurre i falsi positivi, a dare priorità ai risultati significativi e offre chiare indicazioni per la risoluzione. La sua funzione "Memories" apprende dalle decisioni passate per ridurre ulteriormente il rumore del triage nel tempo. Semgrep supporta anche un'analisi approfondita delle dipendenze transitive, non solo di quelle dirette, aiutando i team a far emergere e affrontare i rischi nascosti nella loro catena di fornitura. Si integra bene nei flussi di lavoro di sviluppo moderni ed è facile da personalizzare in diversi ambienti. ## Semgrep Pros & Cons **What users like:** - Gli utenti apprezzano la **facilità d'uso** di Semgrep, integrandosi perfettamente nei loro flussi di lavoro senza rallentare lo sviluppo. (16 reviews) - Gli utenti apprezzano Semgrep per la sua **facilità d'uso e le capacità di test efficaci** , migliorando i loro processi di QA e sviluppo. (14 reviews) - Gli utenti apprezzano la **rilevazione delle vulnerabilità altamente personalizzabile** di Semgrep, migliorando efficacemente la sicurezza nei flussi di lavoro di sviluppo. (13 reviews) - Gli utenti apprezzano l' **efficienza di scansione** di Semgrep, che consente una rapida rilevazione dei problemi e l'integrazione nei flussi di lavoro CI/CD. (12 reviews) - Gli utenti evidenziano il **motore di regole altamente personalizzabile** di Semgrep, migliorando il rilevamento e la sicurezza nelle loro applicazioni. (12 reviews) - Gli utenti apprezzano le **prestazioni veloci** di Semgrep, che permettono di identificare rapidamente i problemi di sicurezza senza rallentare lo sviluppo. (11 reviews) - Gli utenti apprezzano le capacità di **scansione automatizzata** di Semgrep, identificando efficacemente le vulnerabilità nelle prime fasi dello sviluppo. (10 reviews) - Gli utenti apprezzano l' **alta precisione dei risultati** in Semgrep, notando un numero minimo di falsi positivi nei risultati dell'analisi. (9 reviews) - Gli utenti apprezzano la **facile personalizzazione e la creazione di regole divertenti** con Semgrep, migliorando l'efficienza e l'accuratezza dello sviluppo. (9 reviews) - Easy Integrations (9 reviews) **What users dislike:** - Gli utenti trovano Semgrep **non facile da usare** , in particolare a causa della ripida curva di apprendimento e del complesso processo di configurazione iniziale. (7 reviews) - Gli utenti notano le **funzionalità limitate** di Semgrep, che si concentrano principalmente sulla sicurezza senza capacità di scansione più ampie. (6 reviews) - Gli utenti trovano la **difficile curva di apprendimento** della sintassi delle regole personalizzate di Semgrep impegnativa, influenzando la produttività e l'efficacia iniziali. (5 reviews) - Gli utenti spesso sperimentano una **mancanza di guida** quando navigano nella complessa creazione di regole di Semgrep e nelle limitazioni contestuali. (5 reviews) - Gli utenti affrontano una **ripida curva di apprendimento** con le regole personalizzate in Semgrep, richiedendo tempo e sforzo per padroneggiarle efficacemente. (5 reviews) - Learning Difficulty (5 reviews) - Gli utenti trovano le **funzionalità mancanti** in Semgrep limitanti, richiedendo strumenti supplementari per una copertura di sicurezza completa. (5 reviews) - Gli utenti trovano **la gestione del codice impegnativa** a causa di configurazioni complicate e curve di apprendimento ripide per le regole personalizzate. (4 reviews) - False Positives (4 reviews) - Setup Complexity (4 reviews) ## Semgrep Reviews ### 1. Sicurezza del codice semplificata con Semgrep **Rating:** 5.0/5.0 stars **Reviewed by:** Shreekanth k. | Cloud Application Development Engineer, Enterprise (> 1000 dip.) **Reviewed Date:** November 18, 2025 **Cosa Le piace di più di Semgrep?** Apprezzo l'uso di Semgrep per le sue robuste capacità di scansione della sicurezza, in particolare nelle nostre scansioni di sicurezza del codice per Azure Data Factory, i notebook di Azure Databricks e il codice Python. L'installazione è stata semplice e si è integrata perfettamente nel nostro pipeline senza troppi problemi, dimostrando una facilità d'uso che contrasta nettamente con altri strumenti. Una delle caratteristiche che spiccano per me è il basso tasso di falsi positivi; identifica efficacemente i problemi di sicurezza reali senza perdere tempo con falsi allarmi, il che lo rende incredibilmente efficiente. Le regole integrate sono complete, coprendo la maggior parte dei linguaggi principali che utilizziamo e fornendo controlli approfonditi per le vulnerabilità comuni. I risultati delle scansioni sono trasparenti e attuabili, individuando la linea esatta nel codice in cui sorgono i problemi e offrendo indicazioni chiare su come risolverli, accelerando significativamente la risoluzione. Trovo anche che le prestazioni siano solide, senza ostacolare i nostri processi di build con ritardi. Inoltre, dopo aver investito tempo nell'apprendere come scrivere regole personalizzate adattate alle nostre esigenze specifiche, ho realizzato la potente flessibilità che Semgrep offre. Nel complesso, ha migliorato notevolmente il nostro processo di revisione del codice concentrando l'attenzione su problemi genuini e aiutando nella rilevazione precoce delle preoccupazioni di sicurezza. Questo ha rafforzato il nostro flusso di sviluppo e ridotto il tempo dedicato ai rischi di sicurezza. Raccomando vivamente Semgrep come uno strumento SAST pratico che offre risultati eccezionali pur essendo gestibile da mantenere. **Cosa non Le piace di Semgrep?** La sintassi delle regole personalizzate ha richiesto del tempo per essere appresa e inizialmente non era intuitiva. Inoltre, a volte Semgrep non rileva modelli di sicurezza complessi che si estendono su più funzioni o file, rendendo necessarie revisioni manuali per tali casi. Inoltre, la documentazione delle regole potrebbe essere migliorata con più esempi del mondo reale. Una migliore integrazione con il nostro IDE specifico e possibilmente alcuni suggerimenti di regole assistiti dall'IA basati sui modelli del nostro codice sarebbero anche vantaggiosi. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Uso Semgrep per individuare vulnerabilità di sicurezza e problemi di qualità del codice in anticipo, risparmiando tempo sulle revisioni manuali e riducendo i rischi di sicurezza. Offre risultati di scansione attuabili, falsi positivi minimi e regole personalizzabili, migliorando così l'efficienza del nostro sviluppo. ### 2. Motore di Regole Potente e Autofix, ma la Governance su Larga Scala Ha Bisogno di Lavoro **Rating:** 4.5/5.0 stars **Reviewed by:** Utente verificato in Tecnologia dell'informazione e servizi | Enterprise (> 1000 dip.) **Reviewed Date:** November 01, 2025 **Cosa Le piace di più di Semgrep?** Motore di regole flessibile e trasparente con una sintassi YAML chiara e modelli di flusso di dati, oltre a un ampio registro pubblico per successi rapidi e personalizzazione. • Integrazione CI/CD fluida e runtime leggero, che consente scansioni frequenti senza un impatto significativo sulla velocità degli sviluppatori. • Capacità di correzione automatica (basate su regole deterministiche e assistite da AI) che propongono o applicano modifiche sicure al codice, riducendo il tempo medio di risoluzione. **Cosa non Le piace di Semgrep?** Il sovraccarico di governance su larga scala; mantenere set di regole, eccezioni e aggiornamenti a livello di organizzazione su molti repository diventa un onere operativo senza un responsabile dedicato. • L'autofix e il filtraggio del rumore tramite AI sono utili ma ancora in evoluzione; l'efficacia varia a seconda del linguaggio e della base di codice, e alcuni team rimangono cauti nell'applicare automaticamente le correzioni. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Semgrep aiuta a integrare la sicurezza nello sviluppo quotidiano individuando precocemente modelli rischiosi nelle pull request e nei CI, riducendo il lavoro di rifacimento e mantenendo alta la velocità di rilascio. Regole trasparenti e personalizzabili permettono al team di codificare le nostre stesse linee guida e aggiungere rapidamente controlli per nuovi framework, migliorando la copertura senza dover aspettare aggiornamenti dal fornitore. Il filtraggio del rumore assistito dall'IA e le indicazioni per la correzione automatica riducono il tempo di triage e aiutano gli sviluppatori a risolvere i problemi più velocemente, abbassando il MTTR e aiutandoci a rispettare gli SLA di rimedio in modo più coerente. Operativamente, scansioni rapide e facile integrazione CI/SCM significano che gli sviluppatori vedono feedback attuabili dove lavorano, non in un portale separato, aumentando l'adozione e i tassi di correzione. Di conseguenza, siamo passati da revisioni di sicurezza sporadiche a controlli automatizzati e coerenti su tutti i servizi, con guadagni misurabili nel tasso di correzione e meno modelli ad alto rischio che raggiungono la produzione. Il beneficio netto è una pratica più forte di sicurezza per impostazione predefinita con un minimo impatto sulla produttività, oltre a un minor rischio di conformità grazie a regole di policy-as-code che possiamo auditare e sviluppare nel tempo. ### 3. Revisione di Semgrep **Rating:** 5.0/5.0 stars **Reviewed by:** Deepam . | Security Engineer, Enterprise (> 1000 dip.) **Reviewed Date:** September 25, 2025 **Cosa Le piace di più di Semgrep?** Semgrep è uno dei migliori strumenti che ho usato per mettere in sicurezza le applicazioni. Da quando è stato integrato nel nostro flusso di lavoro DevSecOps, è stato in grado di identificare un gran numero di problemi molto prima nel processo di sviluppo. Semgrep esegue la scansione per pacchetti potenzialmente vulnerabili o versioni di software obsolete all'interno del codice e identifica accuratamente i CVE rilevanti. Fornisce anche informazioni chiare sull'impatto e suggerisce i passaggi di rimedio appropriati, così gli sviluppatori non devono cercare soluzioni online. L'ho trovato particolarmente efficace nel rilevare segreti hardcoded, anche quelli che altri strumenti come Trufflehog potrebbero non individuare. Semgrep Supply Chain fa anche un ottimo lavoro nel individuare versioni di software vulnerabili. Nel complesso, considero Semgrep essenziale per mettere in sicurezza le pipeline CI/CD nell'ambiente odierno. **Cosa non Le piace di Semgrep?** Niente di particolare. Funziona molto bene con tutte le funzionalità. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Semgrep è ottimo per l'automazione e per l'identificazione precoce dei problemi di sicurezza, risparmiando molto lavoro manuale per sviluppatori e pentester. ### 4. Strumento di analisi statica veloce, affidabile e adatto agli sviluppatori **Rating:** 4.5/5.0 stars **Reviewed by:** Ivo M. | Analista de segurança da informação junior, Enterprise (> 1000 dip.) **Reviewed Date:** September 05, 2025 **Cosa Le piace di più di Semgrep?** Semgrep è leggero, molto veloce rispetto agli strumenti SAST tradizionali, e si integra perfettamente nei pipeline CI/CD. Mi piace che abbia un forte ecosistema di regole (regole della comunità e Pro), e la possibilità di scrivere regole personalizzate lo rende flessibile per diversi standard di codifica e esigenze di conformità. Il dashboard offre una grande visibilità sui risultati di sicurezza e sui problemi di qualità del codice, aiutando gli sviluppatori a risolvere i problemi rapidamente senza rallentarli. **Cosa non Le piace di Semgrep?** La configurazione iniziale per casi d'uso più avanzati può essere complicata, specialmente quando si tratta di perfezionare regole personalizzate o gestire grandi set di regole su più progetti. A volte, ci sono falsi positivi che richiedono una valutazione manuale, e la curva di apprendimento per la scrittura delle regole è un po' ripida per i nuovi arrivati. Mi piacerebbe anche vedere integrazioni più profonde con più piattaforme di sicurezza aziendale pronte all'uso. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Semgrep ci aiuta a rilevare vulnerabilità di sicurezza e problemi di codifica nelle prime fasi del ciclo di sviluppo. Rende più facile applicare standard di codifica sicuri tra più team senza aggiungere un pesante attrito al flusso di lavoro degli sviluppatori. Integrandosi direttamente nei pipeline CI/CD, riduce il tempo di rilevamento e impedisce che codice rischioso raggiunga la produzione. Questo ha migliorato sia la postura di sicurezza che la coerenza delle nostre applicazioni, riducendo al contempo lo sforzo manuale necessario per le revisioni del codice. ### 5. Analisi Statica Potente e Personalizzabile con Scansioni Veloci—È Necessario un Po' di Apprendimento e Regolazione **Rating:** 5.0/5.0 stars **Reviewed by:** Utente verificato in Produzione | Enterprise (> 1000 dip.) **Reviewed Date:** October 22, 2025 **Cosa Le piace di più di Semgrep?** Semgrep è uno strumento di analisi statica che consente agli sviluppatori di creare regole personalizzate utilizzando una sintassi di pattern-matching intuitiva, che rispecchia da vicino il codice in fase di revisione. Offre supporto per una varietà di linguaggi di programmazione, tra cui Python, JavaScript, Java e Go, tra gli altri. Con Semgrep, gli utenti possono identificare vulnerabilità di sicurezza, affrontare problemi di qualità del codice e applicare standard di codifica in modo efficace. Molti sviluppatori apprezzano la sua integrazione senza soluzione di continuità con le pipeline CI/CD, la possibilità di eseguire scansioni localmente durante lo sviluppo e la flessibilità di creare regole su misura per il codice della loro organizzazione. Lo strumento è noto per le sue capacità di scansione rapida e per i tassi di falsi positivi inferiori rispetto alle soluzioni di analisi statica più tradizionali. Inoltre, Semgrep è disponibile sia in versione open-source che commerciale, con funzionalità avanzate come la gestione centralizzata delle regole e opzioni per la collaborazione in team. **Cosa non Le piace di Semgrep?** Gli strumenti di analisi statica possono presentare alcune limitazioni, come la generazione di falsi positivi che devono essere esaminati manualmente. Possono anche avere difficoltà a identificare vulnerabilità complesse a runtime o difetti logici che diventano evidenti solo durante l'esecuzione. Mantenere e regolare le regole per tenere il passo con i codebase in evoluzione è un requisito continuo. Alcuni utenti notano che creare regole personalizzate comporta una curva di apprendimento, in particolare quando si padroneggia la sintassi di pattern-matching. Scansioni complete di grandi codebase possono anche influire sulle prestazioni della pipeline CI/CD. Sebbene questi strumenti siano forti nel pattern matching, potrebbero trascurare vulnerabilità dipendenti dal contesto che richiedono un'analisi semantica più avanzata. Di conseguenza, i team spesso devono dedicare tempo alla configurazione delle regole per ridurre al minimo il rumore e dare priorità ai risultati rilevanti per il loro specifico stack tecnologico. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Manca l'opzione per avviare manualmente una scansione del codice, specificamente per le scansioni statiche. ### 6. Integrazione Veloce, Accurata e Senza Soluzione di Continuità con GitHub **Rating:** 4.5/5.0 stars **Reviewed by:** Utente verificato in Produzione | Piccola impresa (50 o meno dip.) **Reviewed Date:** October 22, 2025 **Cosa Le piace di più di Semgrep?** Il feedback è rapido e attuabile, il che rende facile affrontare i problemi rapidamente. Apprezzo anche il numero ridotto di falsi positivi, poiché fa risparmiare tempo e sforzi. L'integrazione con GitHub e Actions è senza soluzione di continuità, rendendo il flusso di lavoro fluido. L'accuratezza è elevata e il supporto per un'ampia gamma di lingue è un altro punto di forza. **Cosa non Le piace di Semgrep?** Semgrep è piuttosto focalizzato in modo ristretto, concentrandosi principalmente sulla sicurezza e mancando di capacità di scansione integrate per altre aree importanti come il rilevamento di segreti, l'infrastruttura come codice o la sicurezza dei container. C'è anche una curva di apprendimento da considerare; creare regole efficaci e personalizzate richiede un certo livello di competenza, il che può essere particolarmente impegnativo quando si affrontano vulnerabilità più complesse. Inoltre, Semgrep da solo fornisce un contesto limitato, quindi senza strumenti supplementari, può essere difficile determinare se una vulnerabilità è veramente sfruttabile o raggiungibile in fase di esecuzione. Questa limitazione può rendere più difficile dare la giusta priorità ai problemi. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Semgrep aiuta ad assistere gli sviluppatori e i team di sicurezza nell'identificare bug, vulnerabilità e nell'applicare standard di codifica. Analizza il codice sorgente per rilevare modelli che corrispondono a regole predefinite, il che lo rende prezioso per le revisioni del codice, gli audit di sicurezza e il mantenimento della qualità complessiva del codice. Semgrep sarà il nostro nuovo strumento SAST predefinito mentre iniziamo a eliminare gradualmente lo strumento attuale che è obsoleto e difficile da usare. ### 7. Semgrep: Una Soluzione SAST Potente e Personalizzabile **Rating:** 3.5/5.0 stars **Reviewed by:** Utente verificato in Tecnologia dell'informazione e servizi | Enterprise (> 1000 dip.) **Reviewed Date:** October 21, 2025 **Cosa Le piace di più di Semgrep?** Il vantaggio più significativo di Semgrep è il suo motore di regole altamente personalizzabile e la facilità di scrittura delle regole. La capacità di definire regole personalizzate in YAML, adattate a specifici codebase e modelli di minaccia, lo distingue da molte altre soluzioni SAST. Questa flessibilità consente un rilevamento preciso delle vulnerabilità personalizzate e l'adesione a specifici standard di codifica. La sua natura leggera e l'esecuzione rapida nei pipeline CI/CD sono anche altamente vantaggiose, permettendo cicli di feedback rapidi senza influire significativamente sui tempi di build. Inoltre, il core open-source fornisce trasparenza e consente contributi della comunità e audit dell'esecuzione delle regole. L'analisi di raggiungibilità in Semgrep Supply Chain è anche una caratteristica eccezionale, riducendo significativamente i falsi positivi concentrandosi su vulnerabilità realmente sfruttabili all'interno dei componenti di terze parti. **Cosa non Le piace di Semgrep?** Sebbene Semgrep eccella nell'analisi statica, il suo focus ristretto può rappresentare una limitazione per le organizzazioni che cercano una piattaforma di sicurezza applicativa completa. Non offre nativamente la scansione integrata per segreti, Infrastructure as Code (IaC), container o postura CI/CD, rendendo necessario l'uso di strumenti aggiuntivi per una copertura più ampia. La messa a punto iniziale necessaria per ridurre i falsi positivi e ottimizzare i set di regole può anche rappresentare un investimento iniziale, specialmente per nuovi utenti o progetti complessi. Infine, sebbene la scrittura delle regole sia un punto di forza, la curva di apprendimento per la creazione di regole avanzate può essere ripida per chi è nuovo allo strumento o all'analisi statica in generale. La mancanza di funzionalità di reporting robuste e integrate e di opzioni di esportazione per un'analisi dettagliata delle vulnerabilità è anche un notevole svantaggio. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Semgrep risolve il problema di trovare vulnerabilità di sicurezza, bug e di far rispettare gli standard di codice in modo rapido e precoce nel ciclo di vita dello sviluppo. Aiuta a spostare la sicurezza a sinistra integrandosi direttamente nei flussi di lavoro di sviluppo, come le pipeline CI/CD e gli IDE. ### 8. Facile da usare con ottime capacità di test funzionali **Rating:** 5.0/5.0 stars **Reviewed by:** Nagaraju A. | Delivery Manager, Mid-Market (51-1000 dip.) **Reviewed Date:** October 31, 2025 **Cosa Le piace di più di Semgrep?** Apprezzo come Semgrep eccelle nelle capacità di convalida e test QA, mostrando una buona efficacia nell'esecuzione di questi compiti. La facilità d'uso è particolarmente notevole, richiedendo meno scripting rispetto ad altre alternative, e il processo di configurazione iniziale è stato semplice e senza sforzo. Valuto la sua funzionalità nel condurre test funzionali, che semplifica notevolmente i miei compiti. La progettazione dei casi di test e i risultati ottenuti sono particolarmente soddisfacenti, migliorando il mio processo di test. Ogni volta che incontro problemi che altri strumenti non possono risolvere, Semgrep diventa una risorsa indispensabile, permettendomi di progredire utilizzando efficacemente le sue funzionalità. Nel complesso, trovo Semgrep un'esplorazione degna per la sua funzionalità e l'approccio user-friendly. **Cosa non Le piace di Semgrep?** Niente **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Trovo che Semgrep migliori il mio flusso di lavoro per i test funzionali, rendendolo facile da usare e riducendo la necessità di scripting. Risolve problemi quando altri strumenti falliscono, aiutandomi a procedere ulteriormente e a bloccare efficacemente i problemi. ### 9. Ottima esperienza, ma l'interfaccia utente potrebbe essere più intuitiva. **Rating:** 4.5/5.0 stars **Reviewed by:** Mohammad A. | Product Owner, Enterprise (> 1000 dip.) **Reviewed Date:** October 22, 2025 **Cosa Le piace di più di Semgrep?** Semgrep è uno degli strumenti più facili e leggeri per rilevare le vulnerabilità di sicurezza nel nostro codice. Ci consente anche di eseguire la scansione dei nostri repository locali e può essere integrato con la nostra pipeline CI/CD per fornire una scansione continua del codice. Preferiamo usarlo con quasi tutte le nostre applicazioni per sentirci più sicuri. **Cosa non Le piace di Semgrep?** Non c'è molto di cui lamentarsi, ma penso che l'interfaccia utente potrebbe essere più pulita e più facile da usare. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** La piattaforma offre la scansione delle vulnerabilità e aiuta a mantenere le applicazioni prive di bug. Fornisce anche la scansione automatizzata del codice attraverso la pipeline CI/CD e supporta la scansione per più linguaggi di programmazione. ### 10. Scansione del codice senza sforzo—Molto più facile del nostro vecchio strumento **Rating:** 5.0/5.0 stars **Reviewed by:** Avneesh J. | Engineering manager-DevOps, Enterprise (> 1000 dip.) **Reviewed Date:** October 28, 2025 **Cosa Le piace di più di Semgrep?** È uno strumento molto intuitivo per la scansione dei repository di codice, e lo trovo molto più facile da usare rispetto alla nostra precedente scansione con Checkmarx. È abbastanza facile da integrare con il nostro repository di codice esistente e può anche essere filtrato in base alle necessità. **Cosa non Le piace di Semgrep?** Poiché abbiamo iniziato a utilizzare questo strumento solo di recente, finora non c'è nulla che non ci piaccia. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Aiuta a scoprire le vulnerabilità nei software open-source e l'implementazione nei nostri pipeline per il deployment del codice ci ha aiutato molto a individuare proattivamente le vulnerabilità prima che raggiungano qualsiasi ambiente. ### 11. Penso che Semgrep sia indispensabile per ogni azienda di software **Rating:** 4.5/5.0 stars **Reviewed by:** Mahmoud H. | Information Security Intern, Mid-Market (51-1000 dip.) **Reviewed Date:** September 16, 2025 **Cosa Le piace di più di Semgrep?** Il fatto che possa eseguire la scansione delle dipendenze e abbia così tante regole configurate sul posto, con un'interfaccia utente molto amichevole e facile da usare per SemGrep pro. **Cosa non Le piace di Semgrep?** Penso che ciò di cui semgrep ha bisogno sia una funzione che riassuma lo stato generale della sicurezza di un repository/progetto. E permettere all'utente di poter indicare alla piattaforma i collegamenti tra diversi repository/se ce ne sono. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Sono un responsabile della sicurezza in un'azienda con oltre 300 repository. Il fatto che semgrep possa esaminare senza problemi tutte le righe di codice ad ogni modifica è incredibile per me. Rende il mio lavoro molto più semplice. ### 12. Risultati accurati e un'interfaccia utente raffinata da Semgrep **Rating:** 4.5/5.0 stars **Reviewed by:** Nitish U. | Product Security Lead, Sicurezza informatica e di rete, Mid-Market (51-1000 dip.) **Reviewed Date:** April 13, 2026 **Cosa Le piace di più di Semgrep?** Accuratezza, interfaccia utente. Assistente AI di Semgrep. Matrice di raggiungibilità SCA di Semgrep **Cosa non Le piace di Semgrep?** Bug, crash. Problemi frequenti nelle scansioni PR. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** SAST, Revisione del Codice, Problemi della Catena di Fornitura ### 13. Migliorare la Sicurezza con Semgrep **Rating:** 4.0/5.0 stars **Reviewed by:** Utente verificato in Software per computer | Mid-Market (51-1000 dip.) **Reviewed Date:** September 12, 2025 **Cosa Le piace di più di Semgrep?** Poiché funziona rapidamente e si integra direttamente nel CI/CD, il mio team può individuare i problemi in anticipo — dall'uso insicuro delle funzioni a schemi configurati in modo errato — prima che arrivino in produzione. **Cosa non Le piace di Semgrep?** Limitazioni dei filtri e modifica di alcune impostazioni a livello globale utilizzando l'interfaccia utente. Disporre di filtri più avanzati e controlli a livello di progetto renderebbe più facile gestire i risultati in diversi ambienti e dare priorità ai rischi. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Il più grande vantaggio per noi è l'automazione e la coerenza. Integrando Semgrep nei pipeline CI/CD, posso imporre pratiche di codifica sicura su larga scala e garantire che ogni pull request venga controllata per vulnerabilità comuni. Questo riduce la dipendenza dalle revisioni manuali, diminuisce la possibilità che bug critici finiscano in produzione e mi libera per concentrarmi su lavori di sicurezza più complessi come il pentesting e la progettazione della sicurezza cloud. ### 14. Risultati rapidi e positivi **Rating:** 4.5/5.0 stars **Reviewed by:** Siddhesh J. | Senior Security Analyst & Consultant, Tecnologia dell'informazione e servizi, Mid-Market (51-1000 dip.) **Reviewed Date:** September 08, 2025 **Cosa Le piace di più di Semgrep?** Ci sono molte cose che sono ottime nello strumento SemGrep, la prima è l'integrazione facile con GSM e la pipeline CI-CD, la seconda è la scansione del codice basata su terminale che risparmia molto tempo e integrazione se il codice è piccolo. **Cosa non Le piace di Semgrep?** Non specifico in quanto tale, poiché tutto è buono al giusto prezzo. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** rispetto ad altri strumenti, fornisce risultati migliori, più veloci e accurati in output, inoltre la funzione di suggerimento e correzione dello strumento sarebbe utile per codice lungo e complesso. ### 15. Scansione del codice senza sforzo, ma i problemi dinamici possono sfuggire **Rating:** 2.5/5.0 stars **Reviewed by:** Andrew K. | Systems Administrator, Enterprise (> 1000 dip.) **Reviewed Date:** October 21, 2025 **Cosa Le piace di più di Semgrep?** La nostra azienda ha abilitato automaticamente la scansione del nostro codice. Possiamo cliccare su un link e vedere quali elementi devono essere affrontati. Ricevo una revisione del mio codice ad ogni commit. **Cosa non Le piace di Semgrep?** Posso nascondere problemi di sicurezza con variabili e metodi caricati dinamicamente **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Problemi di sicurezza che potrebbero essere passati inosservati ### 16. La configurazione senza mani non potrebbe essere più semplice **Rating:** 4.5/5.0 stars **Reviewed by:** Utente verificato in Software per computer | Piccola impresa (50 o meno dip.) **Reviewed Date:** September 09, 2025 **Cosa Le piace di più di Semgrep?** Molto poco è stato necessario fare da parte nostra per impostare le scansioni gestite per l'intera organizzazione GitHub. A parte il personale di Semgrep che ha regolato le cose per completare una scansione, il nostro ampio codice sorgente stava eseguendo scansioni SAST in pochi giorni. I commenti sui PR di GitHub mostrano agli utenti cosa fare, e l'IA può classificare correttamente molti rapporti come non bisognosi di mitigazione. **Cosa non Le piace di Semgrep?** Le funzionalità di Semgrep sono progettate per prevenire l'introduzione di nuovi problemi nelle pull request, ma quelle stesse funzionalità non sono disponibili per i problemi trovati nei rami principali - questi devono essere gestiti manualmente. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Identificare potenziali falle di sicurezza nel codice esistente come parte della conformità per le certificazioni di sicurezza. ### 17. Analisi della vulnerabilità perspicace, ma necessita di analisi automatica **Rating:** 5.0/5.0 stars **Reviewed by:** Utente verificato in Semiconduttori | Enterprise (> 1000 dip.) **Reviewed Date:** October 21, 2025 **Cosa Le piace di più di Semgrep?** Lo strumento fornisce un'analisi delle vulnerabilità rilevate nel codice e offre anche suggerimenti per le correzioni. Questa funzione è utile per identificare potenziali problemi e capire come affrontarli. **Cosa non Le piace di Semgrep?** Attualmente, devo avviare manualmente l'analisi ogni volta che si verifica una nuova rilevazione, ma preferirei che l'analisi avvenisse automaticamente non appena qualcosa viene rilevato. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Questo strumento è stato utile per identificare problemi di sicurezza nel mio codice. Mi aiuta a individuare vulnerabilità che altrimenti avrei potuto non notare. ### 18. Accelera il rilevamento dei bug, ma la sintassi delle regole può essere limitante per il codice complesso **Rating:** 4.0/5.0 stars **Reviewed by:** Utente verificato in Affari internazionali | Enterprise (> 1000 dip.) **Reviewed Date:** October 21, 2025 **Cosa Le piace di più di Semgrep?** La cosa migliore di Semgrep è che aiuta a individuare i bug e a far rispettare gli standard di codice all'inizio dello sviluppo, senza rallentare gli ingegneri. È veloce, comprensibile e si integra naturalmente nel flusso di lavoro degli sviluppatori. **Cosa non Le piace di Semgrep?** La mia principale antipatia è che la sintassi delle regole di Semgrep può sembrare restrittiva quando si ha a che fare con codice dinamico o framework che si basano molto sulla metaprogrammazione. È ottimo per schemi semplici, ma un'analisi semantica più approfondita a volte richiede uno sforzo manuale maggiore. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Semgrep aiuta a individuare bug e problemi di sicurezza in anticipo eseguendo un'analisi statica veloce e personalizzabile direttamente nel flusso di lavoro dello sviluppatore. Mi aiuta a mantenere un codice coerente e sicuro e risparmia tempo prevenendo correzioni tardive. ### 19. Regole flessibili e integrazione con GitHub brillano, ma necessita di una migliore segmentazione del prodotto **Rating:** 4.5/5.0 stars **Reviewed by:** Utente verificato in Ospedali e assistenza sanitaria | Enterprise (> 1000 dip.) **Reviewed Date:** October 30, 2025 **Cosa Le piace di più di Semgrep?** Semgrep offre una piattaforma unica per soluzioni SAST e SCA, il che è positivo, ma la parte migliore sono le regole di semgrep: sono così flessibili e facili da scrivere che non è necessario fare manualmente il filtraggio o la rimozione. Un'altra caratteristica dello strumento che mi piace personalmente sono le azioni di GitHub che mostreranno i bug direttamente su Git con una versione corretta revisionata dall'IA. **Cosa non Le piace di Semgrep?** Semgrep non ha una segmentazione per prodotto, quindi per le organizzazioni con più prodotti avrai solo progetti e dovrai usare etichette per categorizzare quei prodotti. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Fornisce ottime soluzioni SCA e SAST. ### 20. Interfaccia pulita e intuizioni chiare, ma la configurazione può essere frustrante **Rating:** 4.0/5.0 stars **Reviewed by:** Shuiab S. | EDA hardwarw engineer, Enterprise (> 1000 dip.) **Reviewed Date:** October 21, 2025 **Cosa Le piace di più di Semgrep?** L'interfaccia è estremamente pulita e tutte le vulnerabilità sono chiaramente evidenziate. **Cosa non Le piace di Semgrep?** Configurare il sistema per la prima volta è stato piuttosto frustrante, poiché mi sono trovato a dover chiedere assistenza all'agente IT in diverse occasioni. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Questo strumento è stato utile per identificare le vulnerabilità all'interno del codice e ha assistito nella risoluzione dei problemi che si sono presentati in produzione. ### 21. Eccellente strumento per la qualità e la sicurezza del codice. **Rating:** 5.0/5.0 stars **Reviewed by:** Utente verificato in Produzione | Mid-Market (51-1000 dip.) **Reviewed Date:** October 22, 2025 **Cosa Le piace di più di Semgrep?** È un buon strumento per identificare i problemi e la sicurezza nel codice che possono influire sulla qualità e sulla sicurezza. **Cosa non Le piace di Semgrep?** L'interfaccia utente non è così efficiente. Inoltre, la configurazione del codice crea alcuni problemi. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Questo prodotto è eccellente quando si tratta di maneggevolezza. Sono abbastanza soddisfatto di come gestisce bene i compiti. ### 22. Strumento incredibile **Rating:** 5.0/5.0 stars **Reviewed by:** Utente verificato in Produzione elettrica/elettronica | Enterprise (> 1000 dip.) **Reviewed Date:** September 25, 2025 **Cosa Le piace di più di Semgrep?** Lo strumento offre tutte le funzionalità necessarie per tracciare e gestire le vulnerabilità di sicurezza. **Cosa non Le piace di Semgrep?** Lo strumento è estremamente utile, con tutte le sue funzionalità che funzionano esattamente come previsto. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Semgrep evidenzia tutti i problemi di sicurezza presenti negli strumenti e offre anche soluzioni per ciascuno di essi. Inoltre, fornisce spiegazioni per aiutare a comprendere i problemi e le correzioni consigliate. ### 23. Facile da usare e implementare—Funziona perfettamente! **Rating:** 3.0/5.0 stars **Reviewed by:** Ryan M. | Software Application Development Engineer, Enterprise (> 1000 dip.) **Reviewed Date:** October 21, 2025 **Cosa Le piace di più di Semgrep?** Facilità d'uso e implementazione nel tuo repository GitHub. **Cosa non Le piace di Semgrep?** Niente, ha funzionato benissimo per me e non ho avuto problemi. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Sta aiutando nella scansione delle vulnerabilità. ### 24. Integrazioni senza sforzo e copertura impressionante **Rating:** 5.0/5.0 stars **Reviewed by:** Arnau E. | Lead Security Engineer, Enterprise (> 1000 dip.) **Reviewed Date:** October 21, 2025 **Cosa Le piace di più di Semgrep?** Facilità di integrazione, ampia copertura con diversi tipi di offerte. **Cosa non Le piace di Semgrep?** Le integrazioni potrebbero essere migliori, è richiesto un po' di sforzo manuale. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** SAST, Segreti, SCA. ### 25. Uno strumento SAST facile da usare e divertente da personalizzare **Rating:** 4.5/5.0 stars **Reviewed by:** Utente verificato in Software per computer | Piccola impresa (50 o meno dip.) **Reviewed Date:** December 04, 2024 **Cosa Le piace di più di Semgrep?** Che il motore SAST restituisca un numero molto piccolo di falsi positivi. E le regole sono divertenti da scrivere. Mi piace anche l'analisi della raggiungibilità dello strumento della catena di fornitura, così non ti senti sopraffatto dai falsi positivi. **Cosa non Le piace di Semgrep?** Non esiste una funzione di esportazione del report. Inoltre, sarebbe utile un interruttore per dire allo strumento della catena di fornitura di segnalare tutte le dipendenze vulnerabili, indipendentemente dalla loro raggiungibilità. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Aiutare a costruire prodotti sicuri scrivendo codice più sicuro ### 26. Esperienza con Semgrep **Rating:** 5.0/5.0 stars **Reviewed by:** Utente verificato in Sicurezza informatica e di rete | Enterprise (> 1000 dip.) **Reviewed Date:** December 04, 2024 **Cosa Le piace di più di Semgrep?** La facile personalizzazione, la creazione di regole personalizzate e il feedback rapido per gli sviluppatori **Cosa non Le piace di Semgrep?** Più prodotti come la scansione IaC o DAST, mi piacerebbe avere tutte le capacità per scansionare le app **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Spostare a sinistra le vulnerabilità ### 27. Solo un modo giusto per testare e catturare la vulnerabilità del tuo codice **Rating:** 4.5/5.0 stars **Reviewed by:** Abhineet S. | DevSecOps Engineer II, Mid-Market (51-1000 dip.) **Reviewed Date:** February 20, 2024 **Cosa Le piace di più di Semgrep?** Mi piace il motore SAST, è potente e capace insieme a una percentuale minore di falsi positivi. Oltre a ciò, le regole predefinite e molte altre rendono facile l'integrazione con qualsiasi processo DevSecOps. **Cosa non Le piace di Semgrep?** Attualmente, le nuove offerte come SEMGREP AI e il gestore di segreti non si sommano perfettamente. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Sta catturando le vulnerabilità essenziali, critiche e contaminate nella natura del codice quotidiano, rendendo un buon modo seguire le pratiche di shift left. ### 28. Perfetta analisi della sicurezza del codice per controllare ed eliminare le vulnerabilità **Rating:** 4.5/5.0 stars **Reviewed by:** Shivam J. | QA Engineer, Tecnologia dell'informazione e servizi, Mid-Market (51-1000 dip.) **Reviewed Date:** February 20, 2024 **Cosa Le piace di più di Semgrep?** Il motore SAST e il dashboard completo rendono tutto fantastico e nitido. **Cosa non Le piace di Semgrep?** Non sono soddisfatto dell'accuratezza degli strumenti di integrazione con esso **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Rendere facile spostarsi a sinistra nella sicurezza e nella gestione della sicurezza della catena di approvvigionamento ### 29. SAST e SCA semplici ma potenti **Rating:** 4.0/5.0 stars **Reviewed by:** Utente verificato in Videogiochi | Mid-Market (51-1000 dip.) **Reviewed Date:** November 07, 2023 **Cosa Le piace di più di Semgrep?** - Facile da integrare nei flussi di lavoro CICD e personalizzati - Le configurazioni CLI sono semplici - Capacità di scansione potenti - Supporta molte lingue - L'analisi della raggiungibilità è utile - Stabile e affidabile **Cosa non Le piace di Semgrep?** - Non gestisce correttamente i caratteri unicode in molti punti, se ci sono caratteri unicode nel tuo codice, semgrep può bloccarsi - Nessuna GUI per la versione OSS, dovrebbero almeno fornire una GUI di base per la versione OSS **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Semgrep ci aiuta a identificare le vulnerabilità nelle prime fasi dello sviluppo identificando continuamente le vulnerabilità nel nostro codice e evidenziando le librerie OSS vulnerabili utilizzate. ### 30. Uno strumento di analisi statica senza soluzione di continuità **Rating:** 5.0/5.0 stars **Reviewed by:** Kiko E. | Engineering Manager, Mid-Market (51-1000 dip.) **Reviewed Date:** February 22, 2023 **Cosa Le piace di più di Semgrep?** Una delle cose che amo di più di Semgrep è quanto sia facile da usare. Come strumento di analisi statica, ha la reputazione di essere intimidatorio o difficile da integrare nei flussi di lavoro esistenti. Ma con Semgrep, gli sviluppatori non devono preoccuparsi affatto di questo. Si integra perfettamente con molti editor di codice popolari, sistemi di controllo versione e strumenti di integrazione continua. Questo significa che è un gioco da ragazzi configurarlo e iniziare a usarlo per rilevare potenziali vulnerabilità di sicurezza, problemi di prestazioni e altri problemi di qualità del codice. Ma ciò che è davvero interessante di Semgrep è come sembri uno strumento progettato pensando agli sviluppatori. Le regole predefinite sono incredibilmente complete e coprono una vasta gamma di potenziali problemi. Ma se hai bisogno di personalizzarle per il tuo progetto, è facile farlo. E se mai ti trovi in difficoltà, la comunità è sempre lì per aiutarti. In definitiva, Semgrep è uno strumento potente che può aiutare gli sviluppatori a migliorare la qualità del loro codice. Ma, cosa più importante, sembra uno strumento progettato per rendere la nostra vita più facile. E chi non ama questo? **Cosa non Le piace di Semgrep?** Come con qualsiasi strumento, Semgrep ha alcuni potenziali svantaggi da considerare. Eccone alcuni: Curva di apprendimento: Sebbene Semgrep sia generalmente considerato user-friendly e facile da usare, c'è comunque una curva di apprendimento nell'utilizzo di qualsiasi nuovo strumento. Alcuni sviluppatori potrebbero dover dedicare del tempo a familiarizzare con la sintassi di Semgrep e a come scrivere e modificare le regole. Falsi positivi/negativi: Come qualsiasi strumento di analisi statica, Semgrep può generare falsi positivi (cioè segnalare codice come problematico quando non lo è) o falsi negativi (cioè non segnalare codice problematico). Questo può essere frustrante e potrebbe richiedere del tempo e sforzo aggiuntivi per essere risolto. Intensivo in termini di risorse: A seconda delle dimensioni del tuo codice, l'esecuzione di Semgrep può essere intensiva in termini di risorse e potrebbe rallentare il tuo processo di sviluppo. È importante considerare questo aspetto quando si integra Semgrep nel proprio flusso di lavoro e assicurarsi che l'hardware e l'infrastruttura possano gestirlo. Nel complesso, questi potenziali svantaggi sono relativamente minori rispetto ai benefici che Semgrep può offrire. Tuttavia, è importante considerare questi fattori quando si decide se Semgrep è lo strumento giusto per il proprio progetto. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Il problema che Semgrep risolve è che può essere difficile per gli sviluppatori esaminare manualmente il codice alla ricerca di potenziali problemi. Con codebase che crescono e cambiano costantemente, può essere facile trascurare potenziali problemi o introdurne di nuovi. Semgrep automatizza questo processo e consente agli sviluppatori di identificare e affrontare rapidamente i potenziali problemi prima che diventino problemi più grandi. ### 31. Strumento di analisi del codice statico gratuito e open-source **Rating:** 4.5/5.0 stars **Reviewed by:** Dhaval D. | Piccola impresa (50 o meno dip.) **Reviewed Date:** June 27, 2023 **Cosa Le piace di più di Semgrep?** -L'installazione è piuttosto semplice -Supporta quasi tutti i linguaggi di programmazione -Le scansioni sono relativamente più veloci rispetto ad altri strumenti di analisi del codice statico -In alcuni casi, ho notato che i risultati/le scoperte di Semgrep erano più accurati **Cosa non Le piace di Semgrep?** -Ci sono stati parecchi falsi positivi -Altri strumenti come Sonarqube hanno più funzionalità e forniscono rapporti dettagliati -La risoluzione dei problemi può essere difficile **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Nel mio caso, uso Semgrep per trovare i bug iniziali nel mio codice e funziona quasi perfettamente in quasi tutti i casi e passo il rapporto al tester per eseguire ulteriori debug e correggere gli stessi problemi. ### 32. Prodotto di qualità straordinaria e conveniente per le PMI con un ottimo team di supporto e una comunità fantastica! **Rating:** 5.0/5.0 stars **Reviewed by:** Stéphane S. | Piccola impresa (50 o meno dip.) **Reviewed Date:** May 29, 2023 **Cosa Le piace di più di Semgrep?** Semgrep ci ha aiutato in pochissimo tempo a restringere le vulnerabilità importanti e a concentrarci su ciò che conta grazie a Semgrep Supply Chain. È il prodotto con il miglior ROI che consiglierei di aggiungere al tuo SSDLC. È veloce, estensibile e personalizzabile, con una comoda CLI. **Cosa non Le piace di Semgrep?** Integrazione Bitbucket / Jira meno avanzata rispetto a GitHub ma in rapido recupero! **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Assicurandoci di mantenere la conformità alla sicurezza informatica e garantire la sicurezza dei dati che elaboriamo. Semgrep Supply Chain assicura che ci concentriamo prima sui problemi di sicurezza più importanti. ### 33. Un SAST Altamente Personalizzabile **Rating:** 5.0/5.0 stars **Reviewed by:** Utente verificato in Servizi finanziari | Mid-Market (51-1000 dip.) **Reviewed Date:** March 24, 2023 **Cosa Le piace di più di Semgrep?** Semgrep è uno strumento di analisi del codice statico facile da usare e altamente personalizzabile. La sua interfaccia intuitiva e la libreria di regole flessibili rendono l'esecuzione di scansioni su qualsiasi base di codice semplice, grande o piccola. Con la sua comunità attiva di contributori e la natura open-source, Semgrep è uno strumento essenziale per gli sviluppatori che cercano di migliorare rapidamente ed efficacemente la qualità e la sicurezza del codice. **Cosa non Le piace di Semgrep?** Non ho riscontrato alcun problema importante durante l'utilizzo del prodotto finora. Durante l'onboarding, ho avuto alcuni piccoli problemi con l'interfaccia utente, ma non hanno influenzato significativamente la mia esperienza complessiva. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Aiuta a identificare potenziali problemi prima che diventino problemi maggiori, risparmiando tempo e risorse a lungo termine. Trovando e risolvendo i problemi nelle fasi iniziali del processo di sviluppo, gli sviluppatori possono migliorare la qualità complessiva del codice e ridurre la probabilità di problemi futuri. ### 34. Semgrep - futuro del SAST **Rating:** 5.0/5.0 stars **Reviewed by:** Aleksandr K. | Mid-Market (51-1000 dip.) **Reviewed Date:** February 22, 2023 **Cosa Le piace di più di Semgrep?** scansione consapevole del contesto che consente a un ingegnere della sicurezza di vedere metriche reali sulle vulnerabilità nel codice. La sua offerta di IaC mostra quanto possa essere consapevole del contesto con i suoi flussi di dati personalizzati. **Cosa non Le piace di Semgrep?** È difficile nominare qualcosa in particolare, ma una cosa che è impegnativa è essere integrati in questo. C'è sicuramente una curva di apprendimento per iniziare a scrivere le proprie regole. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Tutto ciò che riguarda la sicurezza del codice: mettere dei guardrail di sicurezza per gli sviluppatori nella fase di pre-commit, assicurarsi che nessun segreto venga mai commesso, mantenere i nostri file di blocco con le librerie aggiornati. ### 35. Svolta per la sicurezza delle applicazioni **Rating:** 5.0/5.0 stars **Reviewed by:** Utente verificato in Tecnologia dell'informazione e servizi | Mid-Market (51-1000 dip.) **Reviewed Date:** December 30, 2022 **Cosa Le piace di più di Semgrep?** La catena di fornitura di Semgrep è una manna per i team di sicurezza delle applicazioni e dei prodotti. Supportata dal già solido motore Semgrep, può rapidamente far emergere vulnerabilità che sono *davvero* vulnerabilità e migliora materialmente la nostra gestione della sicurezza e del rischio. Mi sembra di aver acquisito nuovi superpoteri. Consiglierei questo a qualsiasi team di sicurezza, insieme al prodotto base. Soprattutto, gli ingegneri e il team di supporto di r2c sono di prim'ordine. Sono incredibilmente disponibili e reattivi, e mi sono sentito come il loro cliente più importante in ogni fase del percorso. **Cosa non Le piace di Semgrep?** Ci sono pochissimi svantaggi che mi vengono in mente, ma uno che mi viene in mente è la capacità di estendere o creare modelli per le regole esistenti. Le regole di base e i set di regole sono buoni ma possono produrre falsi positivi senza personalizzazione. Mi piacerebbe che Semgrep offrisse un modo per personalizzare ulteriormente le regole e aggiungere specificità che aumenti l'accuratezza. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Semgrep ci risparmia innumerevoli ore di lavoro manuale e fatica. Ci permette di moltiplicare il nostro impatto, "spostare a sinistra" e liberare tempo prezioso che possiamo utilizzare per concentrarci su sforzi di sicurezza a maggiore impatto. Non riesco a immaginare di gestire un programma di sicurezza senza di esso. ### 36. Semgrep è estremamente personalizzabile, efficiente e scalabile **Rating:** 4.5/5.0 stars **Reviewed by:** Utente verificato in Assicurazioni | Mid-Market (51-1000 dip.) **Reviewed Date:** December 16, 2022 **Cosa Le piace di più di Semgrep?** La personalizzazione aiuta i team a spostarsi a sinistra. Posso creare le mie regole per evitare falsi positivi e decidere quali regole bloccare, commentare o semplicemente monitorare. Questo aiuta a ridurre il rumore, rende facile per gli sviluppatori di software correggere immediatamente i risultati e bloccare le vulnerabilità dalla produzione. **Cosa non Le piace di Semgrep?** Non posso eseguire diversi set di regole in momenti diversi. Vorrei avere la possibilità di eseguire un certo sottoinsieme di regole in una pipeline CI/CD per bloccare il deployment di risultati ad alta fedeltà dalla produzione; mentre eseguo anche un set più ampio di migliori pratiche e regole a bassa fedeltà in una pipeline separata per aiutarci con la formazione e la risoluzione di problemi meno preoccupanti che sono più complessi come debito tecnico. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Proteggere il codice attraverso la scansione di analisi del codice statico in modo efficiente nella pipeline CI/CD. Semgrep inserisce i risultati direttamente nei commenti delle PR, evitando la necessità per gli sviluppatori di software di accedere a uno strumento diverso. Siamo in grado di personalizzare le regole per controllare aspetti che ci interessano e che sono più unici per la nostra base di codice. ### 37. Le regole personalizzate di Semgrep sono la caratteristica killer di SAST **Rating:** 5.0/5.0 stars **Reviewed by:** Utente verificato in Software per computer | Mid-Market (51-1000 dip.) **Reviewed Date:** December 08, 2022 **Cosa Le piace di più di Semgrep?** Regole personalizzate e la possibilità di biforcare + modificare le regole esistenti rendono Semgrep molto più prezioso come strumento SAST. Per alcune regole, un paio di "pattern-not" aggiuntivi hanno ridotto il nostro tasso di falsi positivi fino al 30%. Questo tipo di operazione è facile in Semgrep e praticamente impossibile con tutti gli altri strumenti SAST che ho usato. Molti altri fornitori affermano che non hai bisogno di quella capacità con i loro strumenti; perché hanno team di persone che già migliorano il loro tasso di falsi positivi. In realtà, ho trovato che l'approccio di Semgrep funziona molto meglio per ridurre i risultati spurii. **Cosa non Le piace di Semgrep?** L'app Semgrep è ancora visibilmente immatura. Ci sono molti piccoli bug nell'editor, nella creazione di regole private e nel pannello delle regole. Finora non ne ho trovati senza qualche tipo di soluzione alternativa, e il team di supporto di R2C è estremamente reattivo. In definitiva, i vantaggi di centralizzare la gestione delle regole e avere un'unica interfaccia per visualizzare tutti i risultati valgono l'interfaccia utente a volte difettosa e le funzionalità mancanti (come l'impossibilità di eliminare le regole pubblicate tramite la CLI). **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Semgrep risolve l'analisi statica per noi. Lo stiamo utilizzando in tutti i nostri repository e stiamo usando regole personalizzate per individuare errori comuni che il nostro team commette. Rispetto al nostro precedente strumento SAST (Veracode), Semgrep esegue le scansioni molto più rapidamente e i nostri sviluppatori adorano quanto sia più facile gestire i risultati. ### 38. Facile da estendere con regole personalizzate ma ho incontrato molti bug **Rating:** 4.0/5.0 stars **Reviewed by:** Utente verificato in Servizi finanziari | Mid-Market (51-1000 dip.) **Reviewed Date:** December 13, 2022 **Cosa Le piace di più di Semgrep?** Facile aggiungere regole personalizzate (ad esempio, utilizzando l'editor di regole online). Inoltre, Semgrep App ha alcune funzionalità comode e interessanti (come il repository privato di regole). **Cosa non Le piace di Semgrep?** La maggior parte delle funzionalità a pagamento di Semgrep possono essere aggirate con la versione open source (ad esempio, utilizzando un repository git privato per memorizzare regole private), quindi non sono al 100% sicuro che la licenza del Semgrep Team e l'intera app Semgrep siano abbastanza mature da giustificare il prezzo. Inoltre, ci siamo imbattuti in molti bug da quando abbiamo iniziato a implementarlo all'interno dell'organizzazione. La buona notizia è che il supporto di Semgrep è reattivo (anche se con 9 ore di differenza di fuso orario); la cattiva notizia è che ho bisogno del loro aiuto costantemente poiché trovo 1-2 nuovi bug ogni settimana. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Prevenire che segreti e codice vulnerabile vengano commessi nei repository git eseguendo automaticamente Semgrep come parte della nostra pipeline CI/CD. ### 39. Semgrep funziona molto bene negli ambienti Devsecops **Rating:** 5.0/5.0 stars **Reviewed by:** Jovin L. | Application Security Lead, Enterprise (> 1000 dip.) **Reviewed Date:** December 08, 2022 **Cosa Le piace di più di Semgrep?** Semgrep è veloce e ci permette di scrivere regole aggiuntive molto facilmente. Questo lo rende molto efficace, e c'è supporto per molte lingue. Il dashboard è intuitivo e facile da usare per cercare i risultati segnalati. **Cosa non Le piace di Semgrep?** Semgrep non mostra correlazioni tra più file. Ad esempio, se un input non è filtrato e viene riflesso su un'altra pagina dove verrebbe reso, sarebbe difficile da identificare in Semgrep. Trovare un modo per avere correlazioni tra più file sarebbe fantastico. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Semgrep consente di eseguire un vasto numero di scansioni su un ampio insieme di repository. Ciò aiuta in un ambiente devsecops. ### 40. Molto meglio di qualsiasi altro strumento *cough* verracode *cough* **Rating:** 4.5/5.0 stars **Reviewed by:** Garry P. | Staff Software Engineer, Mid-Market (51-1000 dip.) **Reviewed Date:** December 13, 2022 **Cosa Le piace di più di Semgrep?** È estremamente facile da usare e non intralcia. La possibilità di creare regole personalizzate e ignorare facilmente le regole esistenti rende questo strumento superiore a qualsiasi altro strumento di "analisi statica" che ho usato finora. **Cosa non Le piace di Semgrep?** Onestamente, non c'è molto che non mi piaccia. Forse avere pulsanti che interagiscono direttamente con i commenti di GitHub sarebbe bello? **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Sta risolvendo una serie di problemi: * Controlli di sicurezza (ad esempio, nessun bucket S3 aperto) * Qualità del codice (ad esempio, non annidare cicli for o condizionali) * Verifica dell'infrastruttura tramite controlli terraform ### 41. Semgrep è un vantaggio con la gestione continua e il monitoraggio delle vulnerabilità aperte. **Rating:** 4.5/5.0 stars **Reviewed by:** Utente verificato in Servizi finanziari | Enterprise (> 1000 dip.) **Reviewed Date:** December 15, 2022 **Cosa Le piace di più di Semgrep?** Utile per monitorare le vulnerabilità aperte, per ogni repository, fino a quando non vengono chiuse. Trovo molto utile la possibilità di creare manualmente configurazioni personalizzate per le vulnerabilità, per estendere la funzionalità oltre le vulnerabilità che potrebbero essere rilevate dai modelli di configurazione disponibili esistenti. **Cosa non Le piace di Semgrep?** Penso che i risultati potrebbero essere migliorati. C'è un limite a ciò che gli strumenti di analisi statica possono estrarre dal codice, e probabilmente è la limitazione della tecnologia stessa, piuttosto che di semgrep. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Individuare i cattivi schemi nel codice molto presto durante il ciclo di sviluppo. Ci sono certi schemi di codifica che semgrep rileva, i quali potrebbero portare a problemi di sicurezza più profondi o critici in seguito. ### 42. Facile da usare e potente **Rating:** 4.5/5.0 stars **Reviewed by:** Utente verificato in Tecnologia dell'informazione e servizi | Enterprise (> 1000 dip.) **Reviewed Date:** December 29, 2022 **Cosa Le piace di più di Semgrep?** Molto facile da usare, indipendentemente dalla lingua che stai utilizzando. A differenza degli strumenti di analisi del codice statico più tradizionali, non è necessario spendere molto tempo per imparare i tipi di regole e le sintassi; nuove regole possono essere create e testate molto rapidamente. Inoltre, i risultati sono di alta qualità. **Cosa non Le piace di Semgrep?** Il supporto della comunità non è così sviluppato poiché sono piuttosto nuovi. L'ampiezza delle regole e delle integrazioni non è così estesa come in alcuni altri strumenti. Tuttavia, questo sta migliorando rapidamente e le regole presenti hanno molti meno falsi positivi. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Utilizziamo semgrep come parte del nostro processo di analisi statica del codice. Usiamo una combinazione di regole della comunità e regole personalizzate per soddisfare i nostri scopi. Questo ci aiuta ad automatizzare la ricerca di corrispondenze di modelli comuni da tenere d'occhio. ### 43. Semgrep ci ha aiutato a individuare bug di sicurezza mentre scalavamo e supportavamo i nostri processi di revisione del codice. **Rating:** 5.0/5.0 stars **Reviewed by:** Utente verificato in Software per computer | Enterprise (> 1000 dip.) **Reviewed Date:** December 08, 2022 **Cosa Le piace di più di Semgrep?** Il potente linguaggio di regole e il motore di Semgrep combinano usabilità e flessibilità. Il fatto che gli sviluppatori possano scrivere le proprie regole in Semgrep senza sapere esattamente come funziona Semgrep ci ha aiutato a scalare il nostro deployment. **Cosa non Le piace di Semgrep?** Senza un'ottimizzazione fine, Semgrep (come qualsiasi SAST) può essere piuttosto rumoroso. So che hanno lavorato per far emergere il feedback degli sviluppatori agli autori e ai manutentori delle regole, ma vorrei comunque che ci fosse un modo più scalabile per ridurre il rumore (ad esempio, suggerimenti di modifica delle regole basati su dove gli sviluppatori segnalano falsi positivi). **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Volevamo far emergere informazioni sulla sicurezza agli sviluppatori quando ne avevano bisogno durante la revisione del codice. Semgrep ci sta aiutando a farlo. ### 44. Ottimo SAST guidato dalla comunità **Rating:** 5.0/5.0 stars **Reviewed by:** Utente verificato in Servizi finanziari | Mid-Market (51-1000 dip.) **Reviewed Date:** December 08, 2022 **Cosa Le piace di più di Semgrep?** Ci è stata venduta l'idea che Semgrep fosse basato su Python e che le rilevazioni fossero guidate dalla comunità. Mentre ci fornisce ancora la possibilità di scrivere rilevazioni personalizzate. **Cosa non Le piace di Semgrep?** Niente in particolare. Se proprio devo dire qualcosa, mi piacerebbe che Semgrep aggiungesse funzionalità simili a GitHub Dependabot / Snyk, in modo da poter gestire più controlli sul nostro codice sorgente attraverso un unico fornitore. La nuova funzionalità della catena di fornitura è un'aggiunta recente. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** La nostra analisi statica necessita - soprattutto di controlli personalizzati. In precedenza avevamo sviluppato il nostro strumento SAST, ma con la crescita dell'azienda, abbiamo deciso di passare a qualcosa di commerciale e più robusto. ### 45. Nessun posto per i falsi positivi **Rating:** 5.0/5.0 stars **Reviewed by:** Avinash S. | Security Lead, Mid-Market (51-1000 dip.) **Reviewed Date:** December 08, 2022 **Cosa Le piace di più di Semgrep?** È l'integrazione più efficiente e semplice da usare per SAST. Gratuito e guidato dalla comunità. Le discussioni sui canali Slack forniscono aiuto e approfondimenti preziosi. **Cosa non Le piace di Semgrep?** Niente di importante. Si sta evolvendo nella giusta direzione. Ma una versione di prova sarebbe buona. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Principalmente eliminando l'uso di più scanner SAST in uno solo. ### 46. Semgrep è il migliore della categoria per personalizzazione, facilità d'uso e supporto **Rating:** 4.0/5.0 stars **Reviewed by:** Utente verificato in Tecnologia dell'informazione e servizi | Enterprise (> 1000 dip.) **Reviewed Date:** December 08, 2022 **Cosa Le piace di più di Semgrep?** Semgrep rende davvero facile scrivere regole. È davvero semplice e l'interfaccia utente ti consente anche di ottenere facilmente feedback sulle regole. Anche il cruscotto è comodo e semplice da usare. Il supporto clienti è anche piuttosto straordinario, in quanto ti aiuteranno durante una riunione con eventuali problemi che potresti avere con l'implementazione. **Cosa non Le piace di Semgrep?** Il binario è stato difettoso in passato e ha richiesto un po' di debugging e patching per funzionare correttamente. Tuttavia, il team di Semgrep è stato utile durante l'intero processo. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** È un modo fantastico per implementare l'analisi del codice statico nella tua pipeline CI/CD. L'integrazione si collega perfettamente al tuo ambiente GitHub e fornisce un'interfaccia pulita per gli ingegneri. ### 47. Controllo SAST e delle dipendenze rapido ed efficace **Rating:** 4.5/5.0 stars **Reviewed by:** Utente verificato in Servizi finanziari | Mid-Market (51-1000 dip.) **Reviewed Date:** December 09, 2022 **Cosa Le piace di più di Semgrep?** Super facile da implementare e gestire. Integrazione senza soluzione di continuità nel nostro pipeline CI, e interferisce con gli sviluppatori solo quando è necessario. Il test di raggiungibilità delle dipendenze è piacevole. **Cosa non Le piace di Semgrep?** Non c'è molto da non apprezzare. La scansione della catena di fornitura/dipendenze è nuova e avrà bisogno di più regole per la raggiungibilità, ma queste vengono gradualmente costruite. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Semgrep agisce come un'efficace barriera protettiva, permettendo agli sviluppatori di scrivere codice ed essere guidati quando vengono introdotte potenziali vulnerabilità. ### 48. Buon insieme di regole, ma un sacco di falsi positivi **Rating:** 3.5/5.0 stars **Reviewed by:** Utente verificato in Software per computer | Enterprise (> 1000 dip.) **Reviewed Date:** December 09, 2022 **Cosa Le piace di più di Semgrep?** I vantaggi sono che la scansione del codice è molto veloce e il set di regole è completo. La gestione delle regole sulla bacheca delle regole è anche molto facile. Le integrazioni e i webhook sono un vantaggio. **Cosa non Le piace di Semgrep?** Gli svantaggi sono che il numero di falsi positivi per alcune delle regole è enorme a causa della mancanza di supporto per il tracciamento delle contaminazioni in PHP. Migliorare questo insieme di regole, o aggiungere il tracciamento delle contaminazioni per PHP sarebbe molto utile. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Semgrep ci sta aiutando a scansionare il nostro codice PHP per le vulnerabilità di prima parte. Il beneficio più tangibile è un miglioramento degli standard di codifica. Anche il loro prodotto SCA è molto interessante. ### 49. Eccellente strumento per delineare le vulnerabilità di sicurezza all'interno della tua applicazione **Rating:** 4.0/5.0 stars **Reviewed by:** Utente verificato in Biotecnologia | Mid-Market (51-1000 dip.) **Reviewed Date:** December 12, 2022 **Cosa Le piace di più di Semgrep?** Ottima analisi delle vulnerabilità con la possibilità di rivedere, classificare e aggiornare lo stato di ciascun incidente. **Cosa non Le piace di Semgrep?** Sarebbe fantastico se Semgrep facesse un'ulteriore analisi statica per coprire i "code smells" e la copertura del codice, oltre alla sicurezza. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Fornisce approfondimenti sulle vulnerabilità di sicurezza all'interno della nostra applicazione. ### 50. Scanner efficace, efficiente e amichevole per l'ambiente **Rating:** 5.0/5.0 stars **Reviewed by:** Utente verificato in Assicurazioni | Mid-Market (51-1000 dip.) **Reviewed Date:** December 14, 2022 **Cosa Le piace di più di Semgrep?** È uno strumento super personalizzabile, veloce ed efficace da avere come scanner inline nella pipeline CI/CD. **Cosa non Le piace di Semgrep?** Niente di particolare - il supporto è incredibile e, sebbene siano ancora agli inizi nello sviluppo della loro suite di prodotti, sono molto ricettivi ai feedback. **Quali problemi sta risolvendo Semgrep e in che modo La sta aiutando?** Spostare la sicurezza a sinistra in un modo amichevole per gli ingegneri - [View Semgrep pricing details and edition comparison](https://www.g2.com/it/products/semgrep/reviews?section=pricing&secure%5Bexpires_at%5D=2026-06-16+01%3A51%3A02+-0500&secure%5Bsession_id%5D=16d60118-90d7-4fa6-92c5-11694d79e194&secure%5Btoken%5D=5023829baf1225c7b949e510b5c7c51de127969f2c61a23b21849d82782bfe10&format=llm_user) ## Semgrep Integrations - [Azure DevOps Labs](https://www.g2.com/it/products/azure-devops-labs/reviews) - [Azure Pipelines](https://www.g2.com/it/products/azure-pipelines/reviews) - [Bitbucket](https://www.g2.com/it/products/bitbucket/reviews) - [Cursor](https://www.g2.com/it/products/cursor/reviews) - [Git](https://www.g2.com/it/products/git/reviews) - [GitHub](https://www.g2.com/it/products/github/reviews) - [Jira](https://www.g2.com/it/products/jira/reviews) - [Slack](https://www.g2.com/it/products/slack/reviews) - [Visual Studio Code](https://www.g2.com/it/products/visual-studio-code/reviews) ## Semgrep Features **Amministrazione** - API / Integrazioni - Estensibilità **Prestazione** - Monitoraggio dei problemi - Tasso di rilevamento - Falsi positivi - Scansioni automatiche **Funzionalità - Analisi della Composizione del Software** - Supporto Linguistico - Integrazione - Trasparenza **Documentazione** - Feedback - Prioritizzazione - Suggerimenti per la rimedio **Agentic AI - Analisi del Codice Statico** - Apprendimento Adattivo - Interazione in Linguaggio Naturale - Assistenza Proattiva **Prestazioni - Assistenti AI per la Sicurezza delle Applicazioni** - Rimediazione - Rilevamento delle Vulnerabilità in Tempo Reale - Precisione **Analisi** - Reportistica e Analisi - Tracciamento dei problemi - Analisi del Codice Statico - Analisi del Codice **Analisi** - Reportistica e Analisi - Monitoraggio dei problemi - Analisi del Codice Statico - Scansione delle vulnerabilità - Analisi del Codice **Rete** - Test di conformità - Scansione del Perimetro - Monitoraggio della Configurazione **Efficacia - Analisi della Composizione del Software** - Suggerimenti di rimedio - Monitoraggio Continuo - Rilevamento Approfondito **Sicurezza** - Falsi positivi - Conformità personalizzata - Agilità **Integrazione - Assistenti AI per la Sicurezza delle Applicazioni** - Integrazione Stack - Integrazione del flusso di lavoro - Consapevolezza contestuale del codice **Testando** - Strumenti da riga di comando - Test di conformità - Scansione Black-Box - Tasso di rilevamento - Falsi positivi **Testando** - Scansione a scatola nera - Tasso di rilevamento - Falsi positivi **Applicazione** - Analisi del Codice Statico - Test del Black Box **Agentic AI - Test di Sicurezza delle Applicazioni Interattive (IAST)** - Esecuzione Autonoma dei Compiti **Scanner di vulnerabilità - AI agentica** - Esecuzione autonoma dei compiti - Assistenza Proattiva **Agentic AI - Test di Sicurezza Statico delle Applicazioni (SAST)** - Esecuzione autonoma dei compiti ## Top Semgrep Alternatives - [SonarQube](https://www.g2.com/it/products/sonarqube/reviews) - 4.4/5.0 (140 reviews) - [Snyk](https://www.g2.com/it/products/snyk/reviews) - 4.5/5.0 (132 reviews) - [GitHub](https://www.g2.com/it/products/github/reviews) - 4.7/5.0 (2,298 reviews)