大家好，关于Sonarqube太大了吗？尝试SEMGREP，代码安全+质量检测工件！很多朋友都还不太明白，不过没关系，因为今天小编就来为大家分享关于的知识点，相信应该可以解决大家的一些困惑和问题，如果碰巧可以解决您的问题，还望关注下本站哦，希望对各位有所帮助！

部署很笨重，需要数据库+ JVM，资源开销很大，扫描速度很慢，并且插件在CI/CD运行后立即卡住，并且自定义功能很差。这些规则在早期很麻烦，它们不适合现代发展语言。因此，越来越多的团队开始尝试一个新工具：Semgrep。

参考GitHub项目的屏幕截图

什么是 Semgrep？

SEMGREP是R2C的轻巧，可自定义的代码安全和质量检测工具。它支持30多种语言，尤其是对于现代发展语言（例如GO，Python，JS，Java）。

SEMGREP语言支持指令表图参考SEMGREP官方网站

它的特点很简单：

语法意识扫描（比规律性强，比AST更快）以极快的速度运行，适合嵌入CI/CD规则，免费和开源，还提供Semgrep Cloud SaaS服务。您可以理解，这是一种使用开发人员思考编写规则的“代码扫描工具”。

SEMGREP代码扫描平台检测结果页面图像参考github

SonarQube vs Semgrep对比一览

功能

Sonarqube

semgrep

部署方法

重型DB +服务器需要

轻，单二进制运行

扫描速度

缓慢，预热

非常快，适合Git Hook/CI使用

维持官方维护

社区Rich +简单定制

多语言支持

是的，但与现代语言兼容

支持30多种语言，并且非常适合现代框架

CI/CD集成

支持，但很重

出生于CI/CD

使用阈值

更高

低，规则就像编写代码

一句话的摘要：Semgrep很快开始，快速运行，并且规则易于编写。

快速体验：5 分钟跑个扫描

首次安装（支持MacOS/Linux/Windows）：

brew install semgrepmacoSpip安装semgrep一般python环境并在项目目录中运行：

SEMGREP扫描-Config=自动您将立即看到Semgrep的扫描结果，根据语言自动匹配规则，涵盖安全漏洞，代码质量，样式等。

社区规则也可以使用：

SEMGREP扫描-CONFIG=P/CICI/CD安全规则SEMGREP扫描-Config=P/Security-ADIT安全审核规则甚至可以编写您自己的规则：

Rules:-ID:检测危险词模式： eval（$ x）消息：'避免使用eval（）'语言： [javaScript]严重性：严重性错误被保存为.semgrep.yml，并运行semgrep scan以发挥作用。

SEMGREP（静态代码分析工具）扫描结果输出图像参考GitHub

安全能力也不止于“扫描”

SEMGREP不仅是“错误找到”工具，而且是DevSecops工具链中的链接：

支持GitHub动作，GitLab CI和CircleCi一键集成可以用作预防挂钩，以防止危险代码提交。为团队级漏洞管理提供SEMGREP云仪表板。它可以将结果推向稀疏，网络钩，电子邮件等。

常见使用场景

每日代码质量扫描代码安全审核（例如检测硬编码令牌，SQL注入）PR审查+ CI过程防御线防御线特定项目的合规要求（例如PCI-DSS，例如PCI-DSS，ISO 27001）

总结：轻量、灵活、有安全感

-1010 SONARQUBE IS SENRARQUES，但SEMGGENS强，但更多'semgeg is gromp is gromp is gromp is''

快速而轻巧，适合现代发展节奏，灵活且可写的规则，真正适合开发的安全+质量，一方面都可以嵌入CI/CD，像鱼在水中一样嵌入CI/CD，不要用卡车扫描一个项目，Semgrep就像您的独家“ Smart Code Sentinel”一样。