# Semgrep Reviews **Vendor:** Semgrep **Category:** [Ferramentas de Análise de Composição de Software](https://www.g2.com/pt/categories/software-composition-analysis) **Average Rating:** 4.6/5.0 **Total Reviews:** 55 ## About Semgrep Semgrep é uma plataforma moderna de análise estática (SAST), análise de composição de software (SCA) e detecção de segredos, projetada tanto para desenvolvedores quanto para equipes de segurança. Ela combina análise rápida e determinística com IA sensível ao contexto que classifica achados como um engenheiro de segurança sênior. O Assistente de IA ajuda a reduzir falsos positivos, priorizar resultados significativos e oferece orientações claras de remediação. Sua funcionalidade "Memories" aprende com decisões passadas para reduzir ainda mais o ruído de triagem ao longo do tempo. Semgrep também suporta análise profunda de dependências transitivas, não apenas diretas, ajudando as equipes a identificar e abordar riscos ocultos em sua cadeia de suprimentos. Ele se integra bem aos fluxos de trabalho de desenvolvimento modernos e é fácil de personalizar em diferentes ambientes. ## Semgrep Pros & Cons **What users like:** - Os usuários valorizam a **facilidade de uso** do Semgrep, integrando-se perfeitamente aos fluxos de trabalho e aumentando a eficiência dos desenvolvedores. (16 reviews) - Os usuários apreciam a **configuração amigável e as capacidades de teste de QA** do Semgrep, tornando-o essencial para testes funcionais eficazes. (14 reviews) - Os usuários valorizam a **detecção de vulnerabilidades personalizável** no Semgrep, melhorando a segurança em fluxos de trabalho CI/CD e bases de código. (13 reviews) - Os usuários valorizam a **eficiência de varredura** do Semgrep, permitindo a rápida detecção de problemas no início do processo de desenvolvimento. (12 reviews) - Os usuários apreciam o **motor de regras personalizável** do Semgrep, melhorando a segurança e a precisão na detecção de vulnerabilidades. (12 reviews) - Os usuários valorizam o **desempenho rápido** do Semgrep, permitindo a rápida identificação de problemas de segurança sem desacelerar o desenvolvimento. (11 reviews) - Os usuários valorizam as capacidades de **varredura automatizada** do Semgrep, identificando efetivamente vulnerabilidades no início do desenvolvimento. (10 reviews) - Os usuários apreciam a **alta precisão dos resultados** no Semgrep, observando um número mínimo de falsos positivos nos resultados da análise. (9 reviews) - Os usuários apreciam a **fácil personalização e a criação divertida de regras** com o Semgrep, melhorando a eficiência e a precisão do desenvolvimento. (9 reviews) - Integrações fáceis (9 reviews) **What users dislike:** - Os usuários acham que o Semgrep **não é amigável** devido a uma curva de aprendizado acentuada e processos de configuração inicial complicados. (7 reviews) - Os usuários observam as **funcionalidades limitadas** do Semgrep, especialmente no que diz respeito às capacidades de segurança mais amplas e ao gerenciamento de achados complexos. (6 reviews) - Os usuários acham a **curva de aprendizado difícil** para regras personalizadas no Semgrep um desafio, especialmente para iniciantes e configurações complexas. (5 reviews) - Os usuários experimentam uma **falta de orientação** com o Semgrep, tornando desafiador navegar na criação e configuração de regras personalizadas. (5 reviews) - Os usuários enfrentam uma **curva de aprendizado acentuada** com a sintaxe de regras personalizadas do Semgrep, impactando a configuração inicial e a usabilidade. (5 reviews) - Dificuldade de Aprendizagem (5 reviews) - Os usuários acham que os **recursos ausentes** no Semgrep são limitantes, exigindo ferramentas suplementares para uma cobertura de segurança abrangente. (5 reviews) - Os usuários acham **o gerenciamento de código desafiador** devido a configurações complicadas e curvas de aprendizado acentuadas para regras personalizadas. (4 reviews) - Falsos Positivos (4 reviews) - Configurar Complexidade (4 reviews) ## Semgrep Reviews ### 1. Segurança de Código Simplificada com Semgrep **Rating:** 5.0/5.0 stars **Reviewed by:** Shreekanth k. | Cloud Application Development Engineer, Empresa (> 1000 emp.) **Reviewed Date:** November 18, 2025 **O que você mais gosta em Semgrep?** Aprecio o uso do Semgrep por suas robustas capacidades de varredura de segurança, particularmente em nossas verificações de segurança de código para o Azure Data Factory, notebooks do Azure Databricks e código Python. A configuração foi simples e se integrou perfeitamente ao nosso pipeline sem muito esforço, demonstrando uma facilidade de uso que contrasta fortemente com outras ferramentas. Uma das características de destaque para mim é a baixa taxa de falsos positivos; ele identifica efetivamente problemas reais de segurança sem perder tempo com alertas falsos, o que o torna incrivelmente eficiente. As regras embutidas são abrangentes, cobrindo a maioria das principais linguagens que usamos e fornecendo verificações completas para vulnerabilidades comuns. Os resultados das varreduras são transparentes e acionáveis, apontando a linha exata no código onde surgem os problemas e oferecendo orientações claras sobre como corrigi-los, acelerando significativamente a remediação. Também acho o desempenho sólido, não prejudicando nossos processos de build com atrasos. Além disso, após investir tempo em aprender a escrever regras personalizadas adaptadas às nossas necessidades específicas, percebi a poderosa flexibilidade que o Semgrep oferece. No geral, ele melhorou significativamente nosso processo de revisão de código, concentrando a atenção em problemas genuínos e ajudando na detecção precoce de preocupações de segurança. Isso fortaleceu, em última análise, nosso fluxo de desenvolvimento e reduziu o tempo gasto com riscos de segurança. Recomendo de todo coração o Semgrep como uma ferramenta SAST prática que oferece resultados excepcionais enquanto é gerenciável de manter. **O que você não gosta em Semgrep?** A sintaxe da regra personalizada levou algum tempo para aprender e não foi intuitiva inicialmente. Além disso, às vezes o Semgrep não detecta padrões de segurança complexos que abrangem várias funções ou arquivos, necessitando de revisões manuais para esses casos. Além disso, a documentação das regras poderia ser melhorada com mais exemplos do mundo real. Uma melhor integração com nosso IDE específico e, possivelmente, algumas sugestões de regras assistidas por IA com base nos padrões do nosso código também seriam benéficas. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** Eu uso o Semgrep para detectar vulnerabilidades de segurança e problemas de qualidade de código cedo, economizando tempo em revisões manuais e reduzindo riscos de segurança. Ele oferece resultados de varredura acionáveis, mínimos falsos positivos e regras personalizáveis, tudo isso melhorando a eficiência do nosso desenvolvimento. ### 2. Motor de Regras Poderoso e Correção Automática, mas Governança em Escala Precisa de Trabalho **Rating:** 4.5/5.0 stars **Reviewed by:** Usuário Verificado em Tecnologia da Informação e Serviços | Empresa (> 1000 emp.) **Reviewed Date:** November 01, 2025 **O que você mais gosta em Semgrep?** Motor de regras flexível e transparente com sintaxe YAML clara e padrões de fluxo de dados, além de um extenso registro público para ganhos rápidos e personalização. • Integração suave com CI/CD e tempo de execução leve, permitindo verificações frequentes sem impacto significativo na velocidade do desenvolvedor. • Capacidades de correção automática (baseadas em regras determinísticas e assistidas por IA) que propõem ou aplicam alterações de código seguras, reduzindo o tempo médio para remediar. **O que você não gosta em Semgrep?** A sobrecarga de governança em escala; manter conjuntos de regras em toda a organização, exceções e atualizações em muitos repositórios torna-se um fardo operacional sem um responsável dedicado. • Correção automática e filtragem de ruído por IA são úteis, mas ainda estão evoluindo; a eficácia varia conforme a linguagem e a base de código, e algumas equipes permanecem cautelosas em aplicar correções automaticamente. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** O Semgrep está ajudando a incorporar segurança no desenvolvimento diário ao capturar padrões arriscados cedo em pull requests e CI, o que reduz retrabalho e mantém alta a velocidade de lançamento. Regras transparentes e personalizáveis permitem que a equipe codifique nossas próprias diretrizes e adicione rapidamente verificações para novos frameworks, de modo que a cobertura melhore sem esperar por atualizações do fornecedor. A filtragem de ruído assistida por IA e a orientação de correção automática reduzem o tempo de triagem e ajudam os desenvolvedores a resolver problemas mais rapidamente, o que diminui o MTTR e nos ajuda a cumprir os SLAs de remediação de forma mais consistente. Operacionalmente, verificações rápidas e fácil integração CI/SCM significam que os desenvolvedores veem feedback acionável onde trabalham, não em um portal separado, aumentando a adoção e as taxas de correção. Como resultado, passamos de revisões de segurança esporádicas para verificações automatizadas consistentes em todos os serviços, com ganhos mensuráveis na taxa de correção e menos padrões de alto risco chegando à produção. O benefício líquido é práticas mais fortes de segurança por padrão com um imposto mínimo de produtividade, além de menor risco de conformidade graças a regras de política como código que podemos auditar e evoluir ao longo do tempo. ### 3. Revisão do Semgrep **Rating:** 5.0/5.0 stars **Reviewed by:** Deepam . | Security Engineer, Empresa (> 1000 emp.) **Reviewed Date:** September 25, 2025 **O que você mais gosta em Semgrep?** O Semgrep é uma das melhores ferramentas que já usei para proteger aplicações. Desde que foi integrado ao nosso fluxo de trabalho DevSecOps, ele conseguiu identificar um grande número de problemas muito mais cedo no processo de desenvolvimento. O Semgrep verifica pacotes potencialmente vulneráveis ou versões de software desatualizadas dentro do código e identifica com precisão os CVEs relevantes. Ele também fornece informações claras sobre o impacto e sugere as etapas de remediação apropriadas, para que os desenvolvedores não precisem procurar soluções online. Achei particularmente eficaz na detecção de segredos codificados, mesmo aqueles que outras ferramentas como o Trufflehog podem não detectar. O Semgrep Supply Chain também faz um excelente trabalho ao identificar versões de software vulneráveis. No geral, considero o Semgrep essencial para proteger pipelines de CI/CD no ambiente atual. **O que você não gosta em Semgrep?** Nada disso. Funciona muito bem com todas as funcionalidades. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** Semgrep é ótimo para automação e para identificação precoce de problemas de segurança, economizando muito esforço manual para desenvolvedores e pentesters. ### 4. Ferramenta de análise estática rápida, confiável e amigável para desenvolvedores **Rating:** 4.5/5.0 stars **Reviewed by:** Ivo M. | Analista de segurança da informação junior, Empresa (> 1000 emp.) **Reviewed Date:** September 05, 2025 **O que você mais gosta em Semgrep?** O Semgrep é leve, muito rápido em comparação com as ferramentas SAST tradicionais, e integra-se suavemente em pipelines CI/CD. Gosto que ele tenha um forte ecossistema de regras (regras da comunidade e Pro), e a capacidade de escrever regras personalizadas o torna flexível para diferentes padrões de codificação e necessidades de conformidade. O painel oferece ótima visibilidade sobre descobertas de segurança e problemas de qualidade de código, ajudando os desenvolvedores a corrigir problemas rapidamente sem desacelerá-los. **O que você não gosta em Semgrep?** A configuração inicial para casos de uso mais avançados pode ser complicada, especialmente ao ajustar regras personalizadas ou gerenciar grandes conjuntos de regras em vários projetos. Às vezes, há falsos positivos que exigem triagem manual, e a curva de aprendizado para escrever regras é um pouco íngreme para os novatos. Eu também gostaria de ver integrações mais profundas com mais plataformas de segurança empresarial prontas para uso. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** O Semgrep nos ajuda a detectar vulnerabilidades de segurança e problemas de codificação cedo no ciclo de desenvolvimento. Ele facilita a aplicação de padrões de codificação segura em várias equipes sem adicionar grande atrito ao fluxo de trabalho dos desenvolvedores. Ao integrar-se diretamente nos pipelines de CI/CD, ele reduz o tempo de detecção e impede que códigos arriscados cheguem à produção. Isso melhorou tanto a postura de segurança quanto a consistência de nossas aplicações, ao mesmo tempo que reduziu o esforço manual necessário para revisões de código. ### 5. Análise Estática Poderosa e Personalizável com Scans Rápidos—Alguma Curva de Aprendizado e Ajustes Necessários **Rating:** 5.0/5.0 stars **Reviewed by:** Usuário Verificado em Manufatura | Empresa (> 1000 emp.) **Reviewed Date:** October 22, 2025 **O que você mais gosta em Semgrep?** O Semgrep é uma ferramenta de análise estática que permite aos desenvolvedores criar regras personalizadas usando uma sintaxe de correspondência de padrões intuitiva, que espelha de perto o código sendo revisado. Oferece suporte para uma variedade de linguagens de programação, incluindo Python, JavaScript, Java e Go, entre outras. Com o Semgrep, os usuários podem identificar vulnerabilidades de segurança, abordar preocupações com a qualidade do código e impor padrões de codificação de forma eficaz. Muitos desenvolvedores valorizam sua integração perfeita com pipelines de CI/CD, a capacidade de executar verificações localmente durante o desenvolvimento e a flexibilidade para criar regras adaptadas ao código da organização. A ferramenta é conhecida por suas capacidades de verificação rápida e menores taxas de falsos positivos em comparação com soluções de análise estática mais tradicionais. Além disso, o Semgrep está disponível em versões de código aberto e comercial, com recursos avançados como gerenciamento centralizado de regras e opções para colaboração em equipe. **O que você não gosta em Semgrep?** Ferramentas de análise estática podem apresentar certas limitações, como gerar falsos positivos que devem ser revisados manualmente. Elas também podem ter dificuldades para identificar vulnerabilidades complexas de tempo de execução ou falhas de lógica que só se tornam aparentes durante a execução. Manter e ajustar regras para acompanhar a evolução das bases de código é uma exigência contínua. Alguns usuários observam que criar regras personalizadas envolve uma curva de aprendizado, especialmente ao dominar a sintaxe de correspondência de padrões. Scans abrangentes de grandes bases de código também podem afetar o desempenho do pipeline CI/CD. Embora essas ferramentas sejam fortes na correspondência de padrões, elas podem negligenciar vulnerabilidades dependentes de contexto que exigem uma análise semântica mais avançada. Como resultado, as equipes muitas vezes precisam dedicar tempo para configurar regras a fim de minimizar o ruído e priorizar descobertas relevantes para sua pilha de tecnologia específica. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** Falta a opção de acionar manualmente uma varredura de código, especificamente para varreduras estáticas. ### 6. Integração Rápida, Precisa e Sem Interrupções com o GitHub **Rating:** 4.5/5.0 stars **Reviewed by:** Usuário Verificado em Manufatura | Pequena Empresa (50 ou menos emp.) **Reviewed Date:** October 22, 2025 **O que você mais gosta em Semgrep?** O feedback é rápido e acionável, o que facilita resolver problemas rapidamente. Também aprecio o número reduzido de falsos positivos, pois economiza tempo e esforço. A integração com o GitHub e Actions é perfeita, tornando o fluxo de trabalho suave. A precisão é alta, e o suporte para uma ampla gama de idiomas é outro ponto forte. **O que você não gosta em Semgrep?** O Semgrep é bastante focado, concentrando-se principalmente na segurança e carecendo de capacidades de varredura integradas para outras áreas importantes, como detecção de segredos, infraestrutura como código ou segurança de contêineres. Há também uma curva de aprendizado a considerar; criar regras eficazes e personalizadas exige um certo nível de expertise, o que pode ser particularmente desafiador ao lidar com vulnerabilidades mais complexas. Além disso, o Semgrep por si só fornece um contexto limitado, então, sem ferramentas suplementares, pode ser difícil determinar se uma vulnerabilidade é realmente explorável ou alcançável em tempo de execução. Essa limitação pode dificultar a priorização adequada dos problemas. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** O Semgrep ajuda a auxiliar desenvolvedores e equipes de segurança na identificação de bugs, vulnerabilidades e na aplicação de padrões de codificação. Ele analisa o código-fonte para detectar padrões que correspondem a regras predefinidas, o que o torna valioso para revisões de código, auditorias de segurança e manutenção da qualidade geral do código. O Semgrep será nossa nova ferramenta SAST padrão à medida que começamos a descontinuar a ferramenta atual, que está desatualizada e é difícil de usar. ### 7. Semgrep: Uma Solução SAST Poderosa e Personalizável **Rating:** 3.5/5.0 stars **Reviewed by:** Usuário Verificado em Tecnologia da Informação e Serviços | Empresa (> 1000 emp.) **Reviewed Date:** October 21, 2025 **O que você mais gosta em Semgrep?** A vantagem mais significativa do Semgrep é seu motor de regras altamente personalizável e a facilidade de escrita de regras. A capacidade de definir regras personalizadas em YAML, adaptadas a bases de código e modelos de ameaça específicos, o diferencia de muitas outras soluções SAST. Essa flexibilidade permite a detecção precisa de vulnerabilidades personalizadas e a adesão a padrões de codificação específicos. Sua natureza leve e execução rápida em pipelines CI/CD também são altamente benéficas, permitindo ciclos de feedback rápidos sem impactar significativamente os tempos de build. Além disso, o núcleo de código aberto proporciona transparência e permite contribuições da comunidade e auditorias da execução de regras. A análise de alcançabilidade no Semgrep Supply Chain também é um recurso de destaque, reduzindo significativamente os falsos positivos ao focar em vulnerabilidades verdadeiramente exploráveis dentro de componentes de terceiros. **O que você não gosta em Semgrep?** Embora o Semgrep se destaque na análise estática, seu foco restrito pode ser uma limitação para organizações que buscam uma plataforma de segurança de aplicações abrangente. Ele não oferece nativamente varredura integrada para segredos, Infrastructure as Code (IaC), contêineres ou postura de CI/CD, necessitando do uso de ferramentas adicionais para uma cobertura mais ampla. O ajuste inicial necessário para reduzir falsos positivos e otimizar conjuntos de regras também pode ser um investimento inicial, especialmente para novos usuários ou projetos complexos. Finalmente, embora a escrita de regras seja um ponto forte, a curva de aprendizado para a criação de regras avançadas pode ser íngreme para aqueles que são novos na ferramenta ou na análise estática em geral. A falta de recursos robustos de relatórios integrados e opções de exportação para análise detalhada de vulnerabilidades também é uma desvantagem notável. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** O Semgrep resolve o problema de encontrar vulnerabilidades de segurança, bugs e de impor padrões de código de forma precoce e rápida no ciclo de vida do desenvolvimento. Ele ajuda a deslocar a segurança para a esquerda ao integrar-se diretamente nos fluxos de trabalho de desenvolvimento, como pipelines de CI/CD e IDEs. ### 8. Fácil de usar com ótimas capacidades de teste funcional **Rating:** 5.0/5.0 stars **Reviewed by:** Nagaraju A. | Delivery Manager, Médio Porte (51-1000 emp.) **Reviewed Date:** October 31, 2025 **O que você mais gosta em Semgrep?** Aprecio como o Semgrep se destaca nas capacidades de validação e teste de QA, mostrando boa eficácia na execução dessas tarefas. A facilidade de uso é particularmente notável, exigindo menos script em comparação com outras alternativas, e o processo de configuração inicial foi direto e sem esforço. Valorizo sua funcionalidade em realizar testes funcionais, o que simplifica significativamente minhas tarefas. O design dos casos de teste e os resultados obtidos são particularmente agradáveis, melhorando meu processo de teste. Sempre que encontro problemas que outras ferramentas não conseguem resolver, o Semgrep se torna um recurso indispensável, permitindo-me progredir utilizando suas funcionalidades de forma eficaz. No geral, considero o Semgrep uma exploração valiosa por sua funcionalidade e abordagem amigável ao usuário. **O que você não gosta em Semgrep?** Nada **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** Eu acho que o Semgrep melhora meu fluxo de trabalho para testes funcionais, tornando-o fácil de usar e reduzindo a necessidade de scripts. Ele resolve problemas quando outras ferramentas falham, ajudando-me a avançar e bloquear problemas de forma eficaz. ### 9. Ótima experiência, mas a interface do usuário poderia ser mais amigável. **Rating:** 4.5/5.0 stars **Reviewed by:** Mohammad A. | Product Owner, Empresa (> 1000 emp.) **Reviewed Date:** October 22, 2025 **O que você mais gosta em Semgrep?** Semgrep é uma das ferramentas super fáceis e mais leves para detectar vulnerabilidades de segurança em nosso código. Ele também nos permite escanear nossos repositórios locais e pode ser integrado ao nosso pipeline CI/CD para fornecer uma verificação contínua de código. Preferimos usá-lo em quase todas as nossas aplicações para nos sentirmos mais confiantes. **O que você não gosta em Semgrep?** Não há muito do que reclamar, mas eu acho que a interface do usuário poderia ser mais limpa e amigável. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** A plataforma oferece varredura de vulnerabilidades e ajuda a manter as aplicações livres de bugs. Ela também fornece varredura de código automatizada através do pipeline CI/CD e suporta varredura para múltiplas linguagens de programação. ### 10. Verificação de Código Sem Esforço—Muito Mais Fácil Que Nossa Ferramenta Antiga **Rating:** 5.0/5.0 stars **Reviewed by:** Avneesh J. | Engineering manager-DevOps, Empresa (> 1000 emp.) **Reviewed Date:** October 28, 2025 **O que você mais gosta em Semgrep?** É uma ferramenta muito amigável para escanear repositórios de código, e acho muito mais fácil de usar em comparação com nosso escaneamento anterior do Checkmarx. É bastante fácil de integrar com nosso repositório de código existente e também pode ser filtrada conforme a necessidade. **O que você não gosta em Semgrep?** Como só começamos a usar esta ferramenta recentemente, não há nada de que não gostemos até agora. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** Está ajudando a descobrir a vulnerabilidade com softwares de código aberto e implementado em nossos pipelines para implantação de código nos ajudou muito a encontrar proativamente a vulnerabilidade antes de chegar a qualquer ambiente. ### 11. Acho que o Semgrep é indispensável para todas as empresas de software. **Rating:** 4.5/5.0 stars **Reviewed by:** Mahmoud H. | Information Security Intern, Médio Porte (51-1000 emp.) **Reviewed Date:** September 16, 2025 **O que você mais gosta em Semgrep?** O fato de que ele pode escanear dependências e tem tantas regras configuradas no local, com uma interface de usuário muito amigável e fácil de usar para o SemGrep pro. **O que você não gosta em Semgrep?** Acho que o que o semgrep precisa é de um recurso que resuma a situação geral de segurança de um repositório/projeto. E permitir que o usuário possa informar à plataforma as ligações entre diferentes repositórios, se houver alguma. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** Sou um oficial de segurança em uma empresa com mais de 300 repositórios. O fato de o semgrep poder escanear todas as linhas de código de forma contínua a cada alteração é incrível para mim. Isso torna meu trabalho muito mais fácil. ### 12. Resultados Precisos e uma Interface Polida do Semgrep **Rating:** 4.5/5.0 stars **Reviewed by:** Nitish U. | Product Security Lead, Segurança de Redes e Computadores, Médio Porte (51-1000 emp.) **Reviewed Date:** April 13, 2026 **O que você mais gosta em Semgrep?** Precisão, UI. Assistente de IA Semgrep. Matriz de alcance SCA do Semgrep **O que você não gosta em Semgrep?** Bugs, falhas. Problemas frequentes em verificações de PR. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** SAST, Revisão de Código, problemas na Cadeia de Suprimentos ### 13. Aprimorando a Segurança com Semgrep **Rating:** 4.0/5.0 stars **Reviewed by:** Usuário Verificado em Software de Computador | Médio Porte (51-1000 emp.) **Reviewed Date:** September 12, 2025 **O que você mais gosta em Semgrep?** Como ele é rápido e se integra diretamente ao CI/CD, minha equipe pode identificar problemas cedo — desde o uso inseguro de funções até padrões mal configurados — antes que eles cheguem à produção. **O que você não gosta em Semgrep?** Limitações de filtro e alteração de algumas configurações no nível global usando a interface do usuário. Ter filtros mais avançados e controles em nível de projeto tornaria mais fácil gerenciar descobertas em diferentes ambientes e priorizar riscos. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** O maior benefício para nós é a automação e a consistência. Ao integrar o Semgrep em pipelines de CI/CD, posso impor práticas de codificação segura em escala e garantir que cada pull request seja verificado quanto a vulnerabilidades comuns. Isso reduz a dependência de revisões manuais, diminui a chance de bugs críticos passarem para a produção e me libera para focar em trabalhos de segurança mais complexos, como pentesting e design de segurança em nuvem. ### 14. Resultados rápidos e positivos **Rating:** 4.5/5.0 stars **Reviewed by:** Siddhesh J. | Senior Security Analyst & Consultant, Tecnologia da Informação e Serviços, Médio Porte (51-1000 emp.) **Reviewed Date:** September 08, 2025 **O que você mais gosta em Semgrep?** Existem várias coisas que são ótimas na ferramenta SemGrep, a primeira é a fácil integração com GSM e o pipeline CI-CD, a segunda é a fácil verificação de código baseada em terminal, que economiza muito tempo e integração se o código for pequeno. **O que você não gosta em Semgrep?** Não é específico como tal, já que tudo é bom pelo preço certo. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** em comparação com outras ferramentas, está fornecendo resultados melhores, mais rápidos e precisos na saída, além disso, a sugestão de ferramentas e o recurso de correção seriam úteis para códigos longos. ### 15. Verificação de Código Sem Esforço, Mas Problemas Dinâmicos Podem Passar Despercebidos **Rating:** 2.5/5.0 stars **Reviewed by:** Andrew K. | Systems Administrator, Empresa (> 1000 emp.) **Reviewed Date:** October 21, 2025 **O que você mais gosta em Semgrep?** Nossa empresa tem isso habilitado automaticamente para escanear nosso código. Podemos clicar em um link e ver quais itens precisam ser resolvidos. Eu recebo uma revisão do meu código a cada commit. **O que você não gosta em Semgrep?** Posso ocultar problemas de segurança com variáveis e métodos carregados dinamicamente **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** Questões de segurança que podem ter passado despercebidas ### 16. A configuração sem intervenção não poderia ser mais fácil **Rating:** 4.5/5.0 stars **Reviewed by:** Usuário Verificado em Software de Computador | Pequena Empresa (50 ou menos emp.) **Reviewed Date:** September 09, 2025 **O que você mais gosta em Semgrep?** Muito pouco precisou ser feito do nosso lado para configurar verificações gerenciadas para toda a organização do GitHub. Além do pessoal do Semgrep ajustar as coisas para que uma verificação fosse concluída, nosso grande código estava executando verificações SAST em poucos dias. Comentários de PR do GitHub mostram aos usuários o que fazer, e a IA pode classificar muitos relatórios corretamente como não necessitando de mitigação. **O que você não gosta em Semgrep?** Os recursos do Semgrep são projetados para evitar que novos problemas sejam introduzidos em pull requests, mas esses mesmos recursos não estão disponíveis para problemas encontrados em branches principais - estes precisam ser tratados manualmente. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** Identificando possíveis falhas de segurança no código existente como parte da conformidade para certificações de segurança. ### 17. Análise de Vulnerabilidades Perspicaz, Mas Precisa de Análise Automática **Rating:** 5.0/5.0 stars **Reviewed by:** Usuário Verificado em Semicondutores | Empresa (> 1000 emp.) **Reviewed Date:** October 21, 2025 **O que você mais gosta em Semgrep?** A ferramenta fornece uma análise das vulnerabilidades detectadas no código e também oferece sugestões de correções. Este recurso é útil para identificar problemas potenciais e entender como resolvê-los. **O que você não gosta em Semgrep?** Atualmente, tenho que acionar manualmente a análise cada vez que uma nova detecção ocorre, mas eu preferiria que a análise acontecesse automaticamente assim que algo fosse detectado. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** Esta ferramenta tem sido útil para identificar problemas de segurança no meu código. Ela me ajuda a detectar vulnerabilidades que eu poderia ter perdido. ### 18. Acelera a Detecção de Bugs, Mas a Sintaxe de Regras Pode Ser Limitante para Código Complexo **Rating:** 4.0/5.0 stars **Reviewed by:** Usuário Verificado em Assuntos Internacionais | Empresa (> 1000 emp.) **Reviewed Date:** October 21, 2025 **O que você mais gosta em Semgrep?** A melhor coisa sobre o Semgrep é que ele ajuda a detectar bugs e a impor padrões de código no início do desenvolvimento, sem desacelerar os engenheiros. É rápido, compreensível e se encaixa naturalmente no fluxo de trabalho do desenvolvedor. **O que você não gosta em Semgrep?** Minha principal aversão é que a sintaxe de regras do Semgrep pode parecer restritiva ao lidar com código dinâmico ou frameworks que dependem fortemente de metaprogramação. É ótimo para padrões diretos, mas uma análise semântica mais profunda às vezes requer mais esforço manual. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** O Semgrep ajuda a detectar bugs e problemas de segurança cedo, executando uma análise estática rápida e personalizável diretamente no fluxo de trabalho do desenvolvedor. Ele me ajuda a manter um código consistente e seguro e economiza tempo ao prevenir correções em estágios tardios. ### 19. Regras flexíveis e integração com o GitHub brilham, mas precisa de uma melhor segmentação de produtos **Rating:** 4.5/5.0 stars **Reviewed by:** Usuário Verificado em Hospital e Cuidados de Saúde | Empresa (> 1000 emp.) **Reviewed Date:** October 30, 2025 **O que você mais gosta em Semgrep?** O Semgrep oferece uma única plataforma para soluções SAST e SCA, o que é bom, mas a melhor parte são as regras do Semgrep, que são tão flexíveis e fáceis de escrever que você não precisa fazer filtragem ou remoção manualmente. A ferramenta tem outro recurso que eu pessoalmente gosto, que são as ações do GitHub que mostrarão bugs no próprio Git com uma versão corrigida revisada por IA. **O que você não gosta em Semgrep?** O Semgrep não possui segmentação por produto, como para organizações com múltiplos produtos, você terá apenas projetos e terá que usar etiquetas para categorizar esses produtos. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** Ele fornece ótimas soluções de SCA e SAST. ### 20. Interface Limpa e Insights Claros, Mas a Configuração Pode Ser Frustrante **Rating:** 4.0/5.0 stars **Reviewed by:** Shuiab S. | EDA hardwarw engineer, Empresa (> 1000 emp.) **Reviewed Date:** October 21, 2025 **O que você mais gosta em Semgrep?** A interface é extremamente limpa, e todas as vulnerabilidades estão claramente destacadas. **O que você não gosta em Semgrep?** Configurar o sistema pela primeira vez foi bastante frustrante, pois me vi precisando de assistência do agente de TI em várias ocasiões. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** Esta ferramenta foi útil para identificar vulnerabilidades no código e ajudou a resolver problemas que surgiram em produção. ### 21. Excelente ferramenta para qualidade e segurança de código. **Rating:** 5.0/5.0 stars **Reviewed by:** Usuário Verificado em Manufatura | Médio Porte (51-1000 emp.) **Reviewed Date:** October 22, 2025 **O que você mais gosta em Semgrep?** É uma boa ferramenta para identificar os problemas e a segurança no código que podem impactar a qualidade e a segurança. **O que você não gosta em Semgrep?** A interface do usuário não é tão eficiente. Além disso, a configuração do código cria alguns problemas. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** Este produto é excelente quando se trata de manuseio. Estou bastante satisfeito com a forma como ele gerencia as tarefas. ### 22. Ferramenta incrível **Rating:** 5.0/5.0 stars **Reviewed by:** Usuário Verificado em Fabricação de Equipamentos Elétricos/Eletrônicos | Empresa (> 1000 emp.) **Reviewed Date:** September 25, 2025 **O que você mais gosta em Semgrep?** A ferramenta oferece todos os recursos necessários para rastrear e gerenciar vulnerabilidades de segurança. **O que você não gosta em Semgrep?** A ferramenta é extremamente útil, com todos os seus recursos funcionando exatamente como pretendido. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** O Semgrep destaca todos os problemas de segurança presentes nas ferramentas e também oferece soluções para cada um deles. Além disso, fornece explicações para ajudar a entender os problemas e as correções recomendadas. ### 23. Fácil de usar e implementar—Funciona perfeitamente! **Rating:** 3.0/5.0 stars **Reviewed by:** Ryan M. | Software Application Development Engineer, Empresa (> 1000 emp.) **Reviewed Date:** October 21, 2025 **O que você mais gosta em Semgrep?** Facilidade de uso e implementação no seu repositório do GitHub. **O que você não gosta em Semgrep?** Nada, funcionou muito bem para mim e não tive problemas. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** Está ajudando na varredura de vulnerabilidades. ### 24. Integrações Sem Esforço e Cobertura Impressionante **Rating:** 5.0/5.0 stars **Reviewed by:** Arnau E. | Lead Security Engineer, Empresa (> 1000 emp.) **Reviewed Date:** October 21, 2025 **O que você mais gosta em Semgrep?** Facilidade de integrações, ampla cobertura com diferentes tipos de ofertas. **O que você não gosta em Semgrep?** As integrações poderiam ser melhores, é necessário um pouco de esforço manual. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** SAST, Segredos, SCA. ### 25. Uma ferramenta SAST fácil de usar e divertida de personalizar **Rating:** 4.5/5.0 stars **Reviewed by:** Usuário Verificado em Software de Computador | Pequena Empresa (50 ou menos emp.) **Reviewed Date:** December 04, 2024 **O que você mais gosta em Semgrep?** Que o motor SAST retorna um número muito pequeno de falsos positivos. E as regras são divertidas de escrever. Eu também gosto da análise de alcançabilidade da ferramenta de cadeia de suprimentos para que você não fique sobrecarregado por falsos positivos. **O que você não gosta em Semgrep?** Não há recurso de relatório de exportação. Além disso, seria útil um botão para instruir a ferramenta de cadeia de suprimentos a relatar todas as dependências vulneráveis, independentemente de sua acessibilidade. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** Ajudando a construir produtos seguros escrevendo código mais seguro ### 26. Experiência com Semgrep **Rating:** 5.0/5.0 stars **Reviewed by:** Usuário Verificado em Segurança de Redes e Computadores | Empresa (> 1000 emp.) **Reviewed Date:** December 04, 2024 **O que você mais gosta em Semgrep?** A fácil personalização, criação de regras personalizadas e feedback rápido para desenvolvedores **O que você não gosta em Semgrep?** Mais produtos como varredura de IaC ou DAST, eu adoraria ter capacidades completas para escanear aplicativos. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** Deslocando vulnerabilidades para a esquerda ### 27. Apenas uma maneira correta de testar e capturar a vulnerabilidade do seu código **Rating:** 4.5/5.0 stars **Reviewed by:** Abhineet S. | DevSecOps Engineer II, Médio Porte (51-1000 emp.) **Reviewed Date:** February 20, 2024 **O que você mais gosta em Semgrep?** Eu gosto do motor SAST, é poderoso e capaz, além de ter uma porcentagem menor de falsos positivos. Além disso, as regras pro e muitas outras regras construídas facilitam a integração com qualquer processo DevSecOps. **O que você não gosta em Semgrep?** Atualmente, a oferta mais recente, como SEMGREP AI e o gerenciador de segredos, não se encaixa perfeitamente. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** É capturar as vulnerabilidades essenciais, críticas e contaminadas na natureza no código do dia a dia, tornando-se uma boa maneira de seguir práticas de mudança para a esquerda. ### 28. Perfeito ferramenta de análise de segurança de código para verificar e eliminar vulnerabilidades **Rating:** 4.5/5.0 stars **Reviewed by:** Shivam J. | QA Engineer, Tecnologia da Informação e Serviços, Médio Porte (51-1000 emp.) **Reviewed Date:** February 20, 2024 **O que você mais gosta em Semgrep?** O motor sast e o painel saudável fazem tudo parecer ótimo e nítido. **O que você não gosta em Semgrep?** Eu não estou satisfeito com a precisão das ferramentas de integração com isso. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** Tornando fácil adotar a abordagem shift left em segurança e na segurança da gestão da cadeia de suprimentos. ### 29. SAST e SCA simples, mas poderosos **Rating:** 4.0/5.0 stars **Reviewed by:** Usuário Verificado em Jogos de Computador | Médio Porte (51-1000 emp.) **Reviewed Date:** November 07, 2023 **O que você mais gosta em Semgrep?** - Fácil de integrar em CICD e fluxos de trabalho personalizados - As configurações de CLI são simples - Capacidades de varredura poderosas - Suporta muitos idiomas - A análise de alcance é útil - Estável e confiável **O que você não gosta em Semgrep?** - Não lida corretamente com caracteres unicode em muitos lugares, se houver unicodes no seu código, o semgrep pode falhar - Sem interface gráfica para a versão OSS, eles deveriam pelo menos fornecer uma interface gráfica básica para a versão OSS **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** O Semgrep está nos ajudando a identificar vulnerabilidades nas fases iniciais do desenvolvimento, identificando continuamente as vulnerabilidades em nossa base de código e destacando as bibliotecas OSS vulneráveis que estão sendo usadas. ### 30. Uma Ferramenta de Análise Estática Sem Costura **Rating:** 5.0/5.0 stars **Reviewed by:** Kiko E. | Engineering Manager, Médio Porte (51-1000 emp.) **Reviewed Date:** February 22, 2023 **O que você mais gosta em Semgrep?** Uma das coisas que mais amo no Semgrep é como ele é fácil de usar. Como uma ferramenta de análise estática, tem a reputação de ser intimidadora ou difícil de integrar em fluxos de trabalho existentes. Mas com o Semgrep, os desenvolvedores não precisam se preocupar com isso. Ele se integra perfeitamente com muitos editores de código populares, sistemas de controle de versão e ferramentas de integração contínua. Isso significa que é muito fácil configurar e começar a usar para detectar potenciais vulnerabilidades de segurança, problemas de desempenho e outros problemas de qualidade de código. Mas o que é realmente legal no Semgrep é como ele parece uma ferramenta projetada com os desenvolvedores em mente. As regras pré-construídas são incrivelmente abrangentes e cobrem uma ampla gama de problemas potenciais. Mas se você precisar personalizá-las para o seu projeto, é fácil fazê-lo. E se você ficar preso, a comunidade está sempre lá para ajudar. No geral, o Semgrep é uma ferramenta poderosa que pode ajudar os desenvolvedores a melhorar a qualidade de seu código. Mas, mais importante, parece uma ferramenta projetada para tornar nossas vidas mais fáceis. E quem não ama isso? **O que você não gosta em Semgrep?** Como qualquer ferramenta, o Semgrep tem algumas desvantagens potenciais a considerar. Aqui estão algumas: Curva de aprendizado: Embora o Semgrep seja geralmente considerado amigável e fácil de usar, ainda há uma curva de aprendizado ao usar qualquer nova ferramenta. Alguns desenvolvedores podem precisar de algum tempo para se familiarizar com a sintaxe do Semgrep e como escrever e modificar regras. Falsos positivos/negativos: Como qualquer ferramenta de análise estática, o Semgrep pode gerar falsos positivos (ou seja, sinalizar código como problemático quando não é) ou falsos negativos (ou seja, não sinalizar código problemático). Isso pode ser frustrante e pode exigir algum tempo e esforço adicionais para resolver. Intensivo em recursos: Dependendo do tamanho do seu código-fonte, executar o Semgrep pode ser intensivo em recursos e pode desacelerar seu processo de desenvolvimento. É importante considerar isso ao integrar o Semgrep em seu fluxo de trabalho e garantir que seu hardware e infraestrutura possam lidar com isso. No geral, essas desvantagens potenciais são relativamente menores em comparação com os benefícios que o Semgrep pode proporcionar. No entanto, é importante considerar esses fatores ao decidir se o Semgrep é a ferramenta certa para o seu projeto. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** O problema que o Semgrep está resolvendo é que pode ser difícil para os desenvolvedores revisarem manualmente o código em busca de possíveis problemas. Com bases de código que estão constantemente crescendo e mudando, pode ser fácil perder possíveis problemas ou introduzir novos. O Semgrep automatiza esse processo e permite que os desenvolvedores identifiquem e resolvam rapidamente possíveis problemas antes que se tornem problemas maiores. ### 31. Gratuita e de código aberto ferramenta de análise de código estático **Rating:** 4.5/5.0 stars **Reviewed by:** Dhaval D. | Pequena Empresa (50 ou menos emp.) **Reviewed Date:** June 27, 2023 **O que você mais gosta em Semgrep?** -A instalação é bastante simples -Suporta quase todas as linguagens de programação -As verificações são relativamente mais rápidas do que outras ferramentas de análise de código estático -Em certos casos, notei que os resultados/achados do Semgrep foram mais precisos **O que você não gosta em Semgrep?** -Havia alguns falsos positivos também -Outras ferramentas como o Sonarqube têm mais recursos e fornecem relatórios detalhados -A resolução de problemas pode ser difícil **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** No meu caso, eu uso o Semgrep para encontrar bugs iniciais no meu código e ele funciona quase perfeitamente em quase todos os casos e passo o relatório para o testador para depurar mais e corrigir os mesmos problemas. ### 32. Produto de qualidade incrível e acessível para PMEs com uma ótima equipe de suporte e comunidade! **Rating:** 5.0/5.0 stars **Reviewed by:** Stéphane S. | Pequena Empresa (50 ou menos emp.) **Reviewed Date:** May 29, 2023 **O que você mais gosta em Semgrep?** Semgrep nos ajudou rapidamente a identificar vulnerabilidades importantes e a focar no que importa graças ao Semgrep Supply Chain. É o produto com o melhor ROI que eu recomendaria adicionar ao seu SSDLC. É rápido, extensível e personalizável, com uma CLI prática. **O que você não gosta em Semgrep?** Integração Bitbucket / Jira menos avançada em comparação com o GitHub, mas avançando rapidamente! **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** Garantindo que mantemos a conformidade com a cibersegurança e asseguramos a segurança dos dados que processamos. Semgrep Supply Chain garante que estamos focando nas questões de segurança mais importantes primeiro. ### 33. Um SAST Altamente Personalizável **Rating:** 5.0/5.0 stars **Reviewed by:** Usuário Verificado em Serviços Financeiros | Médio Porte (51-1000 emp.) **Reviewed Date:** March 24, 2023 **O que você mais gosta em Semgrep?** Semgrep é uma ferramenta de análise estática de código fácil de usar e altamente personalizável. Sua interface intuitiva e biblioteca de regras flexíveis tornam a execução de verificações em qualquer base de código sem esforço, grande ou pequena. Com sua comunidade ativa de colaboradores e natureza de código aberto, o Semgrep é uma ferramenta essencial para desenvolvedores que buscam melhorar a qualidade e a segurança do código de forma rápida e eficiente. **O que você não gosta em Semgrep?** Até agora, não encontrei nenhum problema grave ao usar o produto. Durante a integração, experimentei alguns pequenos problemas de interface do usuário, mas eles não impactaram significativamente minha experiência geral. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** Ajuda a identificar problemas potenciais antes que se tornem grandes problemas, economizando tempo e recursos a longo prazo. Ao encontrar e corrigir problemas no início do processo de desenvolvimento, os desenvolvedores podem melhorar a qualidade geral do código e reduzir a probabilidade de problemas futuros. ### 34. Semgrep - futuro do SAST **Rating:** 5.0/5.0 stars **Reviewed by:** Aleksandr K. | Médio Porte (51-1000 emp.) **Reviewed Date:** February 22, 2023 **O que você mais gosta em Semgrep?** varredura sensível ao contexto que permite a um engenheiro de segurança ver métricas reais sobre vulnerabilidades no código. Sua oferta de IaC mostra o quanto pode ser sensível ao contexto com seus fluxos de dados personalizados. **O que você não gosta em Semgrep?** É difícil nomear algo em particular, mas uma coisa que é desafiadora é se familiarizar com isso. Definitivamente, há uma curva de aprendizado para começar a escrever suas próprias regras. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** Todas as coisas relacionadas à segurança de código: colocando trilhos de segurança para desenvolvedores na fase de pré-commit, garantindo que nenhum segredo seja jamais comprometido, mantendo nossos arquivos de bloqueio com bibliotecas atualizados. ### 35. Revolucionário para a segurança de aplicações **Rating:** 5.0/5.0 stars **Reviewed by:** Usuário Verificado em Tecnologia da Informação e Serviços | Médio Porte (51-1000 emp.) **Reviewed Date:** December 30, 2022 **O que você mais gosta em Semgrep?** A cadeia de suprimentos do Semgrep é uma bênção para as equipes de segurança de aplicativos e produtos. Apoiada pelo já sólido motor Semgrep, ela pode rapidamente revelar vulnerabilidades que são *realmente* vulnerabilidades e melhora materialmente nossa segurança e gestão de riscos. Parece que me deu novos superpoderes. Eu recomendaria isso a qualquer equipe de segurança, junto com o produto base. Mais importante ainda, os engenheiros e a equipe de suporte da r2c são de primeira linha. Eles são incrivelmente solidários e responsivos, e eu me senti como seu cliente mais importante em cada etapa do caminho. **O que você não gosta em Semgrep?** Existem muito poucas desvantagens que consigo pensar, mas uma que vem à mente é a capacidade de estender ou criar modelos a partir das regras existentes. As regras e conjuntos de regras básicos são bons, mas podem produzir falsos positivos sem personalização. Eu adoraria que o Semgrep oferecesse uma maneira de personalizar ainda mais as regras e adicionar camadas de especificidade que aumentem a precisão. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** O Semgrep nos poupa inúmeras horas de trabalho manual e esforço. Ele nos permite multiplicar nosso impacto, "mover para a esquerda" e liberar tempo valioso que podemos usar para focar em esforços de segurança de maior impacto. Não consigo imaginar executar um programa de segurança sem ele. ### 36. Semgrep é extremamente personalizável, eficiente e escalável **Rating:** 4.5/5.0 stars **Reviewed by:** Usuário Verificado em Seguros | Médio Porte (51-1000 emp.) **Reviewed Date:** December 16, 2022 **O que você mais gosta em Semgrep?** A personalização ajuda as equipes a deslocarem-se para a esquerda. Posso criar minhas próprias regras para evitar falsos positivos e decidir quais regras bloqueiam, comentam ou apenas monitoram. Isso ajuda a reduzir o ruído, facilita para os desenvolvedores de software corrigirem os achados imediatamente e bloqueia vulnerabilidades na produção. **O que você não gosta em Semgrep?** Não consigo executar diferentes conjuntos de regras em momentos diferentes. Gostaria de ter a capacidade de executar um determinado subconjunto de regras em um pipeline CI/CD para impedir a implantação de descobertas de alta fidelidade na produção; enquanto também executo um conjunto maior de melhores práticas e regras de baixa fidelidade em um pipeline separado para nos ajudar com o treinamento e a correção de problemas menos preocupantes que são mais complexos como dívida técnica. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** Protegendo o código por meio de análise estática de código de forma eficiente no pipeline CI/CD. O Semgrep coloca as descobertas diretamente nos comentários de PR, evitando a necessidade de os desenvolvedores de software acessarem uma ferramenta diferente. Podemos personalizar regras para verificar coisas que nos interessam e que são mais exclusivas da nossa base de código. ### 37. As regras personalizadas do Semgrep são o recurso matador de SAST **Rating:** 5.0/5.0 stars **Reviewed by:** Usuário Verificado em Software de Computador | Médio Porte (51-1000 emp.) **Reviewed Date:** December 08, 2022 **O que você mais gosta em Semgrep?** Regras personalizadas e a capacidade de bifurcar + modificar as regras existentes tornam o Semgrep muito mais valioso como uma ferramenta SAST. Para certas regras, alguns "pattern-not" adicionais reduziram nossa taxa de falsos positivos em até 30%. Esse tipo de coisa é fácil no Semgrep e praticamente impossível com todas as outras ferramentas SAST que usei. Muitos outros fornecedores afirmam que você não precisa dessa capacidade com suas ferramentas; porque eles têm equipes de pessoas que já melhoram sua taxa de falsos positivos. Na realidade, descobri que a abordagem do Semgrep funciona muito melhor para reduzir resultados espúrios. **O que você não gosta em Semgrep?** O aplicativo Semgrep ainda é visivelmente imaturo. Existem muitos pequenos bugs no editor, na criação de regras privadas e no quadro de regras. Até agora, não encontrei nenhum sem algum tipo de solução alternativa, e a equipe de suporte da R2C é extremamente responsiva. Em resumo, as vantagens de centralizar o gerenciamento de suas regras e ter uma única interface para visualizar todos os achados valem a pena, apesar da interface às vezes com bugs e das funcionalidades ausentes (como a incapacidade de excluir regras publicadas via CLI). **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** O Semgrep resolve a análise estática para nós. Estamos usando-o em todos os nossos repositórios e usando regras personalizadas para capturar erros comuns que nossa equipe comete. Comparado com nossa ferramenta SAST anterior (Veracode), o Semgrep faz as verificações muito mais rapidamente, e nossos desenvolvedores adoram como é muito mais fácil classificar os achados. ### 38. Fácil de estender com regras personalizadas, mas encontrei muitos bugs. **Rating:** 4.0/5.0 stars **Reviewed by:** Usuário Verificado em Serviços Financeiros | Médio Porte (51-1000 emp.) **Reviewed Date:** December 13, 2022 **O que você mais gosta em Semgrep?** Fácil de adicionar regras personalizadas (por exemplo, usando o editor de regras online). Além disso, o Semgrep App possui alguns recursos agradáveis e convenientes (como repositório de regras privado). **O que você não gosta em Semgrep?** A maioria dos recursos pagos do Semgrep pode ser contornada com a versão de código aberto (por exemplo, usando um repositório git privado para armazenar regras privadas), então não tenho 100% de certeza se a licença do Semgrep Team e todo o Semgrep App são maduros o suficiente para justificar o preço. Além disso, encontramos muitos bugs desde que começamos a implementá-lo na organização. A boa notícia é que o suporte do Semgrep é responsivo (embora com uma diferença de fuso horário de 9 horas); a má notícia é que preciso da ajuda deles constantemente, já que encontro 1-2 novos bugs toda semana. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** Prevenir que segredos e código vulnerável sejam cometidos em repositórios git executando o Semgrep automaticamente como parte do nosso pipeline CI/CD. ### 39. Semgrep funciona muito bem em ambientes Devsecops **Rating:** 5.0/5.0 stars **Reviewed by:** Jovin L. | Application Security Lead, Empresa (> 1000 emp.) **Reviewed Date:** December 08, 2022 **O que você mais gosta em Semgrep?** Semgrep é rápido e nos permite escrever regras adicionais com muita facilidade. Isso o torna muito eficaz, e há suporte para muitos idiomas. O painel é amigável e é fácil procurar por achados relatados. **O que você não gosta em Semgrep?** Semgrep não mostra correlação com vários arquivos. Por exemplo, se uma entrada não for filtrada e for refletida em outra página onde seria renderizada, seria difícil identificar no Semgrep. Encontrar uma maneira de ter correlação entre vários arquivos seria ótimo. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** Semgrep permite executar um grande número de verificações em um amplo conjunto de repositórios. Isso ajuda em um ambiente de devsecops. ### 40. Muito melhor do que qualquer outra ferramenta *tosse* verracode *tosse* **Rating:** 4.5/5.0 stars **Reviewed by:** Garry P. | Staff Software Engineer, Médio Porte (51-1000 emp.) **Reviewed Date:** December 13, 2022 **O que você mais gosta em Semgrep?** É muito fácil de usar e não atrapalha. A capacidade de criar regras personalizadas e ignorar facilmente regras existentes faz com que esta ferramenta se destaque em relação a qualquer outra ferramenta de "análise estática" que usei até agora. **O que você não gosta em Semgrep?** Honestamente, não há muito que eu não goste. Talvez ter botões que interajam diretamente com os comentários do GitHub seria bom? **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** Está resolvendo uma série de questões: * Verificações de segurança (por exemplo, sem buckets S3 abertos) * Qualidade do código (por exemplo, não aninhar loops ou condicionais) * Verificação de infraestrutura por meio de verificações do terraform ### 41. Semgrep é uma vantagem com o gerenciamento contínuo e rastreamento de vulnerabilidades abertas. **Rating:** 4.5/5.0 stars **Reviewed by:** Usuário Verificado em Serviços Financeiros | Empresa (> 1000 emp.) **Reviewed Date:** December 15, 2022 **O que você mais gosta em Semgrep?** Útil para rastrear as vulnerabilidades abertas, por repositório, até que sejam fechadas. Acho a capacidade de criar configurações de vulnerabilidade personalizadas manualmente muito útil, para estender a funcionalidade além das vulnerabilidades que poderiam ser detectadas pelos modelos de configuração disponíveis existentes. **O que você não gosta em Semgrep?** Acho que os resultados poderiam ser melhorados. Há um limite para o que as ferramentas de análise estática podem extrair do código, e provavelmente é a limitação da própria tecnologia, em vez do semgrep. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** Identificar os padrões ruins no código muito cedo durante o ciclo de desenvolvimento. Existem certos padrões de codificação que o semgrep detecta, que podem levar a problemas de segurança mais profundos ou críticos posteriormente. ### 42. Fácil de usar e poderoso **Rating:** 4.5/5.0 stars **Reviewed by:** Usuário Verificado em Tecnologia da Informação e Serviços | Empresa (> 1000 emp.) **Reviewed Date:** December 29, 2022 **O que você mais gosta em Semgrep?** Muito fácil de usar, não importa qual idioma você esteja usando. Ao contrário das ferramentas de análise de código estático mais antigas, não há necessidade de gastar muito tempo aprendendo tipos de regras e sintaxes; novas regras podem ser criadas e testadas muito rapidamente. Além disso, os resultados são de alta qualidade. **O que você não gosta em Semgrep?** O suporte da comunidade não está tão desenvolvido, pois eles são bastante novos. A amplitude das regras e integrações não é tão extensa quanto algumas outras ferramentas. No entanto, isso está melhorando rapidamente e as regras que estão presentes têm muito menos falsos positivos. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** Usamos o semgrep como parte do nosso processo de análise estática de código. Usamos uma combinação de regras da comunidade e regras personalizadas para atender aos nossos propósitos. Isso nos ajuda a automatizar a identificação de correspondências de padrões comuns para ficarmos atentos. ### 43. O Semgrep nos ajudou a identificar falhas de segurança enquanto escalávamos e apoiávamos nossos processos de revisão de código. **Rating:** 5.0/5.0 stars **Reviewed by:** Usuário Verificado em Software de Computador | Empresa (> 1000 emp.) **Reviewed Date:** December 08, 2022 **O que você mais gosta em Semgrep?** A poderosa linguagem de regras e o mecanismo do Semgrep combinam usabilidade com flexibilidade. O fato de os desenvolvedores poderem escrever suas próprias regras no Semgrep sem saber exatamente como o Semgrep funciona nos ajudou a escalar nossa implantação. **O que você não gosta em Semgrep?** Sem ajustes finos, o Semgrep (como qualquer SAST) pode ser bastante ruidoso. Sei que eles têm trabalhado em trazer o feedback dos desenvolvedores para os escritores e mantenedores de regras, mas ainda gostaria que houvesse uma maneira mais escalável de reduzir o ruído (por exemplo, sugestões de mudanças nas regras com base em onde os desenvolvedores relatam falsos positivos). **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** Queríamos disponibilizar informações sobre segurança para os desenvolvedores quando eles precisassem durante a revisão de código. O Semgrep está nos ajudando a fazer isso. ### 44. Ótima SAST impulsionada pela comunidade **Rating:** 5.0/5.0 stars **Reviewed by:** Usuário Verificado em Serviços Financeiros | Médio Porte (51-1000 emp.) **Reviewed Date:** December 08, 2022 **O que você mais gosta em Semgrep?** Fomos convencidos pela ideia de que o Semgrep era baseado em Python e que as detecções eram impulsionadas pela comunidade. Enquanto ainda nos fornecia a capacidade de escrever detecções personalizadas. **O que você não gosta em Semgrep?** Nada em particular. Se houver algo, gostaria que o Semgrep adicionasse recursos semelhantes ao GitHub Dependabot / Snyk para que possamos gerenciar mais controles em torno do nosso código-fonte através de um único fornecedor. O recurso mais recente de Supply Chain é uma nova adição. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** Nossa análise estática precisa - especialmente controles personalizados. Anteriormente, desenvolvemos nossa própria ferramenta SAST, mas à medida que a empresa cresceu, decidimos mudar para algo comercial e mais robusto. ### 45. Nenhum lugar para Falsos Positivos **Rating:** 5.0/5.0 stars **Reviewed by:** Avinash S. | Security Lead, Médio Porte (51-1000 emp.) **Reviewed Date:** December 08, 2022 **O que você mais gosta em Semgrep?** É a integração mais eficiente e simples de usar para SAST. Gratuito e impulsionado pela comunidade Discussões em canais do Slack fornecem ajuda e insights valiosos. **O que você não gosta em Semgrep?** Nada de mais. Está evoluindo na direção certa. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** Principalmente eliminando o uso de vários scanners SAST em um só. ### 46. Semgrep é o melhor da categoria em termos de personalização, facilidade de uso e suporte. **Rating:** 4.0/5.0 stars **Reviewed by:** Usuário Verificado em Tecnologia da Informação e Serviços | Empresa (> 1000 emp.) **Reviewed Date:** December 08, 2022 **O que você mais gosta em Semgrep?** O Semgrep torna muito fácil escrever regras. É realmente direto e a interface do usuário também permite que você obtenha feedback sobre as regras com facilidade. O painel de controle também é conveniente e simples de usar. O suporte ao cliente também é incrível, pois eles o ajudarão em uma reunião com problemas que você possa ter com a implementação. **O que você não gosta em Semgrep?** O binário tem apresentado problemas no passado e exigiu alguns ajustes e correções para funcionar corretamente. No entanto, a equipe do Semgrep foi útil durante todo o processo. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** É uma maneira fantástica de implementar a análise de código estático no seu pipeline de CI/CD. A integração se conecta perfeitamente ao seu ambiente GitHub e fornece uma interface limpa para os engenheiros usarem. ### 47. Verificação rápida e eficaz de SAST e dependências **Rating:** 4.5/5.0 stars **Reviewed by:** Usuário Verificado em Serviços Financeiros | Médio Porte (51-1000 emp.) **Reviewed Date:** December 09, 2022 **O que você mais gosta em Semgrep?** Super fácil de implementar e gerenciar. Integração perfeita em nosso pipeline de CI, e só interfere no trabalho dos desenvolvedores quando necessário. O teste de acessibilidade das dependências é bom. **O que você não gosta em Semgrep?** Não há muito do que não gostar. A verificação da cadeia de suprimentos/dependências é nova e precisará de mais regras para a acessibilidade, mas estas estão sendo gradualmente construídas. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** O Semgrep atua como uma barreira eficaz, permitindo que os desenvolvedores escrevam código e sejam orientados quando potenciais vulnerabilidades são introduzidas. ### 48. Bom conjunto de regras, mas um monte de falsos positivos **Rating:** 3.5/5.0 stars **Reviewed by:** Usuário Verificado em Software de Computador | Empresa (> 1000 emp.) **Reviewed Date:** December 09, 2022 **O que você mais gosta em Semgrep?** Os pontos positivos são que a varredura de código é muito rápida e o conjunto de regras está completo. O gerenciamento de regras no quadro de regras também é muito fácil. Integrações e webhooks são uma vantagem. **O que você não gosta em Semgrep?** Os pontos negativos são que o número de falsos positivos para algumas das regras é enorme devido à falta de suporte para rastreamento de contaminação no PHP. Melhorar este conjunto de regras ou adicionar rastreamento de contaminação para PHP seria muito útil. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** O Semgrep está nos ajudando a escanear nosso código PHP em busca de vulnerabilidades de primeira parte. O benefício mais tangível é a melhoria nos padrões de codificação. O produto SCA deles também é muito interessante. ### 49. Excelente ferramenta para delinear vulnerabilidades de segurança dentro do seu aplicativo **Rating:** 4.0/5.0 stars **Reviewed by:** Usuário Verificado em Biotecnologia | Médio Porte (51-1000 emp.) **Reviewed Date:** December 12, 2022 **O que você mais gosta em Semgrep?** Ótima análise de vulnerabilidades com capacidade de revisar, classificar e atualizar o status de cada incidente. **O que você não gosta em Semgrep?** Seria ótimo se o Semgrep fizesse uma análise estática mais aprofundada para cobrir "code smells" e cobertura de código, além de segurança. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** Ele fornece insights sobre as vulnerabilidades de segurança dentro do nosso aplicativo. ### 50. Scanner eficaz, eficiente e amigável ao meio ambiente **Rating:** 5.0/5.0 stars **Reviewed by:** Usuário Verificado em Seguros | Médio Porte (51-1000 emp.) **Reviewed Date:** December 14, 2022 **O que você mais gosta em Semgrep?** É uma ferramenta super personalizável, rápida e eficaz para ter como um scanner inline no pipeline CI/CD. **O que você não gosta em Semgrep?** Nada realmente - o suporte é incrível e, embora ainda estejam no início do desenvolvimento de sua suíte de produtos, eles são super receptivos ao feedback. **Que problemas Semgrep está resolvendo e como isso está beneficiando você?** Deslocar a segurança para a esquerda de uma forma amigável para engenheiros - [View Semgrep pricing details and edition comparison](https://www.g2.com/pt/products/semgrep/reviews?section=pricing&secure%5Bexpires_at%5D=2026-05-14+12%3A43%3A47+-0500&secure%5Bsession_id%5D=12a18164-f790-4253-b7b5-72824ea49b29&secure%5Btoken%5D=fd48ccf8de6386e1a36eaa06826be018b9a0a41997798acc72e015c75f3199cd&format=llm_user) ## Semgrep Integrations - [Azure DevOps Labs](https://www.g2.com/pt/products/azure-devops-labs/reviews) - [Azure Pipelines](https://www.g2.com/pt/products/azure-pipelines/reviews) - [Bitbucket](https://www.g2.com/pt/products/bitbucket/reviews) - [Cursor](https://www.g2.com/pt/products/cursor/reviews) - [Git](https://www.g2.com/pt/products/git/reviews) - [GitHub](https://www.g2.com/pt/products/github/reviews) - [Jira](https://www.g2.com/pt/products/jira/reviews) - [Slack](https://www.g2.com/pt/products/slack/reviews) - [Visual Studio Code](https://www.g2.com/pt/products/visual-studio-code/reviews) ## Semgrep Features **Administração** - API / integrações - Extensibilidade **Desempenho** - Acompanhamento de problemas - Taxa de detecção - Falsos Positivos - Varreduras automatizadas **Funcionalidade - Análise de Composição de Software** - Suporte a idiomas - Integração - Transparência **Documentação** - Feedback - Priorização - Sugestões de remediação **Análise de Código Estático - AI Agente** - Aprendizagem Adaptativa - Interação em Linguagem Natural - Assistência Proativa **Desempenho - Assistentes de AppSec de IA** - Remediação - Detecção de Vulnerabilidades em Tempo Real - Precisão **análise** - Relatórios e análises - Acompanhamento de problemas - Análise de código estático - Análise de código **análise** - Relatórios e análises - Acompanhamento de problemas - Análise de código estático - Varredura de vulnerabilidade - Análise de código **Rede** - Testes de conformidade - Varredura de perímetro - Monitoramento de configuração **Eficácia - Análise de Composição de Software** - Sugestões de remediação - Monitoramento Contínuo - Detecção completa **Segurança** - Falsos Positivos - Conformidade personalizada - Agilidade **Integração - Assistentes de Segurança de Aplicações com IA** - Integração de Pilha - Integração de Fluxo de Trabalho - Consciência Contextual da Base de Código **Teste** - Ferramentas de linha de comando - Testes de conformidade - Digitalização de caixa preta - Taxa de detecção - Falsos Positivos **Teste** - Digitalização de caixa preta - Taxa de detecção - Falsos Positivos **Aplicativo** - Análise de código estático - Teste de caixa preta **IAST (Teste de Segurança de Aplicações Interativas) - IA Agente** - Execução Autônoma de Tarefas **Agente AI - Scanner de Vulnerabilidades** - Execução Autônoma de Tarefas - Assistência Proativa **Agente AI - Teste de Segurança de Aplicações Estáticas (SAST)** - Execução Autônoma de Tarefas ## Top Semgrep Alternatives - [SonarQube](https://www.g2.com/pt/products/sonarqube/reviews) - 4.4/5.0 (138 reviews) - [Snyk](https://www.g2.com/pt/products/snyk/reviews) - 4.5/5.0 (132 reviews) - [GitHub](https://www.g2.com/pt/products/github/reviews) - 4.7/5.0 (2,278 reviews)