Semgrep 是一个快速、开源的静态分析工具,用于在编辑、提交和 CI 时查找错误并执行代码标准。
Semgrep 在你的电脑或构建环境中分析本地代码:代码从不上传。
它的规则看起来就像你已经编写的代码;没有抽象的语法树、正则表达式或痛苦的 DSL。这里有一个快速查找 Pythonprint()语句的快速规则,通过单击图像在 Semgrep 的 Playground 中在线运行它:
Semgrep 生态系统包括:
- Semgrep - 开源的命令行工具,是一切的核心(这个项目)。
- Semgrep CI - 用于在 CI 环境中运行 Semgrep 的专用 Docker 镜像
- Semgrep Playground - 用于编写和共享规则的在线交互式编辑器
- Semgrep Registry - 1000 多个社区驱动的规则,涵盖安全性、正确性和性能错误
- Semgrep 应用程序- 使用免费和付费层级大规模部署、管理和监控 Semgrep。
语言支持
一般可用性
Go · Java · JavaScript · JSX · JSON · Python · Ruby · TypeScript · TSX
测试版和实验版
有关完整列表,请参阅支持的语言。
-
在linux中安装semgrep 进入linux 使用命令查看python版本 python3 --version 通过python3 安装semgrep python3 -m pip install --upgrade semgrep 安装好了验证 semgrep --version 然后找一份代码放入你可以找到的linux目录 使用命令 semgrep --config=auto 代码地
-
本文向大家介绍php轻量级的性能分析工具xhprof的安装使用,包括了php轻量级的性能分析工具xhprof的安装使用的使用技巧和注意事项,需要的朋友参考一下 一、前言 有用的东西还是记录下来吧,也方便以后的查询;这次记录一下xhprof的安装使用; xhprof是facebook开源出来的一个php轻量级的性能分析工具,跟Xdebug类似,但性能开销更低, 还可以用在生产环境中,也可
-
问题内容: 熟悉Java世界的我一直在寻找一种静态分析工具,该工具也足够智能,可以解决它发现的问题。我使用CodePro工具运行,但是我还是Java社区的新手,不知道供应商。 根据上述标准,您可以推荐哪种工具? 问题答案: FindBugs,PMD和Checkstyle都是绝佳的选择,尤其是将它们集成到构建过程中时。 在上一家公司,我们还使用Fortify检查潜在的安全问题。我们很幸运获得了企业许
-
我想知道是否有一个工具,它将我的代码库和一个jar文件作为输入,它将在代码库中搜索这个jar文件正在使用的任何地方,并给我输出。不应使用Eclispe IDE。(变得微不足道)。我已经搜索了一些静态代码分析工具,如PMD、Checkstyle、findbugs。但他们都没有我需要的选择。你能给我推荐一个能完成上述任务的工具吗?
-
代码静态分析可以在不运行代码的情况下,提前检测代码。 主要可以做两点 语法检测 编码规范检测 作为开发人员,在日常编码中,难免会范一些低级错误,比如少个括号,少个逗号,使用了未定义变量等等,我们往往会使用编辑器的 lint 插件来检测此类错误。 对于我们 OpenResty 开发中,日常开发的都是 Lua 代码,所以我们可以使用 luacheck 这款静态代码检测工具来帮助我们检查,比较好的一点是
-
问题内容: 我有一个将要推送的特定格式的XML文档。该文档将始终是同一类型,因此非常严格。 我需要对此进行解析,以便将其转换为JSON(嗯,这是一个混蛋版本,以便其他人可以将其与DOJO一起使用)。 我的问题是,我应该使用非常快速的轻量级(不需要SAX等)XML解析器(有什么想法吗?)还是编写我自己的,基本上可以转换为StringBuffer并在数组中旋转?基本上,我假设所有HTML解析器都将旋转
-
问题内容: 编写新的工作流引擎还是使用现有的BPM引擎更好吗:jBPM 5,Activiti 5? 我的应用程序是基于Web的应用程序,性能非常重要。我的疑问是,与编写简单的工作流引擎相比,使用jBPM / Activiti是否会增加性能开销。 如果我采用自我实现,我会错过工作流程的可视化。为了性能,可以进行交易。 问题答案: 这确实取决于您的要求。首先,查看您是否真的需要工作流引擎(此资源或其他