Semgrep

Semgrep 是一款快速、开源的静态分析工具，能够轻松表达代码规范——无需复杂查询——并在编辑器、提交和 CI 阶段尽早发现缺陷。精确的规则看起来就像你正在搜索的代码；不再需要遍历抽象语法树或与正则表达式搏斗。
Semgrep 注册表包含由 Semgrep 社区编写的 1000 多条规则，涵盖安全、正确性和性能问题。除非你愿意自行开发，否则无需自己动手。
Semgrep 可离线运行，支持未编译的代码。
从个人初创公司到数十亿美元的企业，Semgrep 已广泛应用于生产环境；它是 NodeJsScan 等工具的核心引擎。Semgrep 由软件安全公司 r2c 开发并提供商业支持。r2c 提供免费托管服务 Semgrep Community，让组织可编写和共享规则，并在多个项目中管理 CI 中的 Semgrep。r2c 还为企业用户提供付费托管版本 Semgrep Team。