Semgrep SAST
| Semgrep ist ein statischer Anwendungsscan-Tool (SAST), das automatisch Sicherheitslücken im Quellcode erkennt. |
1. Funktionalität
Semgrep ermöglicht es, benutzerdefinierte Regeln basierend auf Mustern im Code zu definieren. Es scannt Code auf bekannte Schwachstellen, unsichere Muster und Coding-Standards-Verstöße.
Es unterstützt mehrere Sprachen, darunter Java und TypeScript, und kann sowohl lokal als auch in CI/CD-Pipelines eingesetzt werden.
1.1. CI/CD
Speziell für die CI/CD kann der Befehl semgrep ci verwendet werden.
Hier werden nur die geänderten/hinzugefügten Zeilen berücksichtigt.
Es ist zu beachten, dass hierfür die SAST-Regeln manuell konfiguriert sein müssen.
Um ein Community gepflegtes Regelset zu verwenden, muss ein Account auf der Semgrep AppSec Platform erstellt werden.
1.2. Lokale Nutzung
Für die lokale Nutzung kann die CLI installiert werden.
Über den Befehl semgrep scan --config="p/java" --json --json-output=semgrep-report.json wird ein Report in JSON-Format generiert.
Die Konfiguration "p/java" bezieht sich auf ein Community gepflegtes Java-Set an Regeln, welche aktiv gepflegt werden.