セムグレップ

セムグレップ
開発者株式会社セムグレップ
初回リリース2020年2月6日; 4年前[1] ( 2020-02-06 )
安定版リリース
1.70.0  / 2024 年 4 月 24 日。 29日前[2]
リポジトリ
  • github.com/semgrep/semgrep
で書かれているOCaml (コア) およびPython (CLI)
タイプ静的プログラム解析
ライセンスLGPL v2.1
Webサイトsemgrep.dev 

semgrepSemgrep CLI はSemgrep, Inc. (旧称 r2c [3] ) およびオープンソースの貢献者によって開発された、無料のオープンソースの 静的コード分析ツールです。 C#GoJavaJavaScriptJSONPythonPHPRuby、およびScalaを安定してサポートしています。他の 19 言語を実験的にサポートしており、言語に依存しないモードも備えています[4]

この名前はsemanticと を組み合わせたもので、ソース コードのセマンティクスを認識するテキスト検索コマンド ライン ユーティリティであることgrepを示しています。 [5]semgrep

サービス

semgrep を補完するために、Semgrep, Inc. はサプライ チェーンスキャンを備えた継続的統合サービス (Semgrep CI と呼ばれる)を提供しています[6]また、ルール ライブラリ (Semgrep Registry と呼ばれる) も維持します。これらのサービスの基本的な個人使用は無料で提供されますが、有料レベルではチームおよび商用ユースケースがカバーされます。[7]

他の一般的な静的アプリケーション セキュリティ テスト(SAST) ツールと比較して、Semgrep CI は、プライベート コードで無料で実行できるオープン ソース エンジンを備えた唯一のツールです。[8]

歴史

Semgrep CLI は、2009 年にFacebooksgrepで開発されたプログラム分析ライブラリである pfff のオープン ソース ツールの一部をベースにしていました。 Pfff は、 Cで書かれたプログラム用のオープンソース ユーティリティであるCoccinelleからインスピレーションを受けました。 Coccinelleの原作者であり、Coccinelle への寄稿者である Yoann Padioleau は 2019 年に r2c に参加しました。[9] [10] [11]はpfff から r2c によってフォークされました。 2020 年に、既存のプロジェクトとの名前の衝突を避けるために、r2c のフォークの名前が に変更されました。 [12] [13] [14]sgrep sgrepsgrepsemgrep

Redpoint VenturesSequoia Capital は、未発表のシードラウンドで r2c を支援し、その後、 2020 年にはシリーズ Aラウンドにも 1,300 万ドルの資金を提供しました。当時、同社の製品ポートフォリオは Semgrep とそのエコシステムのみで構成されていました。[15] [16]

Semgrep, Inc.は2023年、 Lightspeed Venture Partnersが投資を主導し、以前の投資家であるFelicis Ventures、Redpoint Ventures、Sequoia Capitalからの参加により、シリーズC資金調達ラウンドで5,300万ドルを調達したと発表した。同社は今回のラウンドで調達した資金を含め、総額9,300万ドルを調達した。[3]

Open Web Application Security Project ( OWASP ) は、ソース コード分析ツールのリストに Semgrep をリストしました。[17] 2023 年 4 月の時点で、Semgrep には 132 人の寄稿者がおり、GitHubには 8000 個のスターが付いています。[18] Docker Hubからは、Docker イメージが 1,000 万回以上プルされました。[19]

使用法

Semgrep はHomebrew [20]またはpipでインストールできます[21]さらに、 Dockerにインストールせずに実行することもできます。分析は、カスタム構成を必要とせず、Semgrep Inc. およびオープン ソースの貢献者によって作成されたルールセットを利用することで実行できます。このツールを使用すると、ユーザーは semgrep に固有のパターン言語を使用して、CLI を通じて独自のパターンとルールを作成することもできます。無料のオンライン ルール エディターとチュートリアルも利用できます。[22] [23]

こちらも参照

参考文献

  1. ^ "リリース – sgrep 0.4.0 – returntocorp/semgrep". Github.com 2021年2月3日閲覧
  2. ^ 「リリース 1.70.0」。 2024 年 4 月 24 日2024 年4 月 30 日に取得
  3. ^ ab ミラー、ロン (2023-04-18)。 「Semgrep (旧 r2c) は、コード セキュリティ プラットフォームを成長させるために 5,300 万ドルの投資を獲得しました。」テッククランチ2023-04-19 に取得
  4. ^ "Semgrep ドキュメント – サポートされている言語". semgrep.dev 2023-04-19 に取得
  5. ^ ナギ、ベンス。 「セマンティック grep を使用した複雑なコード パターンの検出」(PDF)owasp.org (プレゼンテーション)。 p. 22021年2月2日閲覧
  6. ^ バーマン、アダム。 「依存関係のアラートの 98% を無視する時期が来ました。Semgrep サプライ チェーンのご紹介」。Semgrep.dev ブログ2023-04-19 に取得
  7. ^ “Semgrep の価格設定”. Semgrep.dev 2023-04-19 に取得
  8. ^ Clint Gibler と Semgrep を使用して、安全なデフォルトを採用し、アンチパターンをブロックし、バグ クラスを排除します。 Youtube.com – OWASP DevSlop。
  9. ^ アレックス、ローアーマン (2020-10-29). 「Semgrep の簡単な紹介 (パート 1)」。トラストファウンドリー
  10. ^ "GitHub 上の Semgrep の README.md ファイルの以前のバージョン". GitHub2021年2月2日閲覧
  11. ^ "Semgrep: 多くの言語のための軽量の静的分析".ハッカーニュース2021年2月2日閲覧
  12. ^ “GitHub 上の Semgrep のプル リクエスト”. GitHub2021年2月2日閲覧
  13. ^ "GitHub 上の Semgrep の README.md の以前のバージョン". GitHub2021年2月2日閲覧
  14. ^ サレチャ、ロヒト (2020-08-13). 「Semgrep 実践入門」。NotSoSecure.com
  15. ^ 「レッドポイントとセコイアは、あなたのクソコードをコピー編集するスタートアップを支援している」. TechCrunch.com。 2020-10-29 2021年2月2日閲覧
  16. ^ “Forbes Cyber​​security Awards 2020: Corellium、Apple を狂わせる小さなスタートアップ”.フォーブス.com。 2020-12-27 2021年2月2日閲覧
  17. ^ "OWASP ソース コード分析ツール". Owasp.com 2020-02-02 に取得
  18. ^ “GitHub 上の Semgrep”. GitHub
  19. ^ "Docker Hub 上の Semgrep" . 2023-04-19 に取得
  20. ^ “自作の式に関する Semgrep” . 2021年2月3日閲覧
  21. ^ "pypi.org の Semgrep". Python パッケージのインデックス2021年2月3日閲覧
  22. ^ "Semgrep ドキュメント – はじめに". semgrep.dev 2021年2月2日閲覧
  23. ^ ランチーニ、マルコ (2020-12-12). 「クラウドセキュリティのためのSemgrep」。マルコランチーニ.it

外部リンク

  • 公式サイト、株式会社セムグレップ
  • GitHubの Semgrep
  • GitHub上の Pfff
  • r2c の CEO、Isaac Evans による Semgrep に関する中程度の投稿
Retrieved from "https://en.wikipedia.org/w/index.php?title=Semgrep&oldid=1210914925"