Semgrep

Descripción

Semgrep es un escáner de análisis estático que detecta vulnerabilidades, errores de seguridad, problemas de estilo, etc., mediante reglas personalizables.

Uso local

# Escaneo básico
semgrep scan --config=p/ci .

# Escaneo con reglas personalizadas
semgrep scan --config=rules/mi_regla.yml .

Reportes

JSON, JUnit, SARIF.
Integración con GitHub Security tab.

Integración en CI/CD

Semgrep Action ejecuta Semgrep en entornos de CI. También puede conectarse a la aplicación Semgrep para configurar reglas y revisar hallazgos en una interfaz web.

- uses: returntocorp/semgrep-action@v1

Integraciones

GitHub, Jira (con integración pagada o scripts).
Slack, Teams, Plane.
VSCode: extensión oficial para ejecutar reglas locales.

UI

Dashboard web gratuito (requiere cuenta).

Licencia

Versión gratuita OSS.
Versión empresarial con dashboard avanzado.

Facilidad de uso

Fácil. Reglas YAML simples de entender.

Cumplimiento con estándares:

OWASP: Las reglas pueden alinearse al OWASP Top 10, detectando problemas de seguridad en el código fuente.
NIST: Compatible con el marco NIST CSF y NIST 800-53, específicamente en prácticas de desarrollo seguro (SA-11).
ISO/IEC 27001: Apoya controles como A.14.2.5 (control del desarrollo de software) y A.14.2.8 (pruebas técnicas).
SOC 2 / PCI DSS: Puede integrarse en pipelines para cumplimiento de requisitos de seguridad de código seguro.

Trivy (by Aqua Security)

Grype + Syft (by Anchore)

SonarQube

OWASP ZAP

Semgrep

Checkov

Snyk

Falco

Faraday

Semgrep

Descripción

Uso local

Reportes

Integración en CI/CD

Integraciones

UI

Licencia

Facilidad de uso

Cumplimiento con estándares: