轻量级静态代码分析利器

semgrep 是一个轻量级的静态代码分析工具，支持 30+ 种编程语言，提供语义化代码扫描功能，能够本地运行保障隐私安全。它支持 IDE 集成和 CI/CD 流水线，提供社区版和功能更强大的 AppSec 平台版本，后者支持跨文件分析并内置 2 万+专业规则，大幅减少误报。

semgrep 是一个轻量级的静态代码分析工具，支持多达 30 种编程语言，能够快速扫描代码以发现漏洞、执行安全防护和编码规范检查。

• 语义化搜索类似于源码的模式，而非简单字符串匹配，提高了查找准确性

• 支持在 IDE 中运行，也可作为预提交检查或集成到 CI/CD 流水线中使用

• 本地分析代码，无需上传源代码，保障隐私安全

• 提供社区版和功能更强大的 AppSec 平台版本，后者支持跨文件、跨函数的数据流分析，大幅减少误报并提升检测率

• AppSec 平台内置 2 万+专业规则覆盖 SAST、SCA 及密钥扫描，由专业团队维护确保高准确度

• 支持丰富语言及包管理器，包括主流编程语言和供应链相关生态系统

• 提供图形界面便于结果浏览与管理，同时也支持命令行操作满足不同用户需求

https://github.com/semgrep/semgrep