Semgrep v1.164.0: Mejoras en Rendimiento y Precisión de Scans

Semgrep, una potente herramienta de análisis estático, ha lanzado la versión 1.164.0, enfocándose en el rendimiento, la compatibilidad y la precisión de los scans. Esta actualización menor, publicada el 27 de mayo de 2026, trae mejoras significativas para diversos entornos y soporte de idiomas. Para obtener todos los detalles, consulte las notas de lanzamiento oficiales.

TL;DR

  • Scans baseline diff ahora manejan fallos de reglas con mayor precisión, reduciendo falsos positivos.
  • Los scans interfile de Semgrep Pro en Linux adaptan los límites de memoria al cgroup.
  • Soporte ampliado para Dart, incluyendo metavariables tipadas y mejor fidelidad del parser.

Key Changes

  • Rendimiento y Compatibilidad: Los scans interfile de Semgrep Pro en Linux ahora ajustan dinámicamente su límite de memoria según el cgroup del contenedor, optimizando el uso de recursos. La compatibilidad con Glibc se ha ampliado para incluir versiones >=2.34, lo que beneficia a usuarios en RHEL 9 y AL2023. Esto permite una instalación más amplia del wheel de Semgrep.
  • Precisión y Fiabilidad de Scans: Una corrección importante en los scans baseline diff (semgrep ci y --baseline-commit) evita que todos los hallazgos en un archivo se marquen como nuevos si una sola regla falló. Esto mejora la relación señal-ruido para los nuevos hallazgos. También se han resuelto problemas con el parseo de yarn.lock para entradas de Yarn Berry y la filtración poco fiable de objetivos en scans paralelos.
  • Soporte para Dart: El análisis de Dart ahora incluye metavariables tipadas ($X as T), binding de metavariables dentro de interpolaciones de string y patrones de definición de funciones. La fidelidad del parser de Dart para las características de la gramática de Dart 3 ha mejorado, reduciendo errores de PartialParsing en paquetes del mundo real.
  • Corrección de Salida SARIF: Los hallazgos suprimidos ahora se excluyen correctamente de los reportes --sarif-output y --sarif, asegurando resultados de scan precisos y evitando bloqueos.

Impact for QA Teams

Los equipos de QA se beneficiarán de reportes baseline diff más precisos, lo que reducirá el esfuerzo necesario para clasificar nuevos hallazgos. La compatibilidad mejorada con distribuciones comunes de Linux y un análisis estático más fiable para proyectos Dart significan una cobertura más amplia y consistente para los flujos de trabajo SAST. La salida SARIF precisa asegura que los hallazgos suprimidos no interfieran con los reportes o pipelines de CI/CD.

FAQ

  • Q: ¿Cuál es la mejora principal para los scans baseline?
    • A: Los scans baseline diff ya no marcan todos los hallazgos como nuevos si una regla falló, ofreciendo comparaciones “nuevas vs baseline” más precisas.
  • Q: ¿Cómo afecta esta actualización a Semgrep en Linux?
    • A: Los scans interfile de Pro ahora adaptan los límites de memoria al cgroup, y la compatibilidad con Glibc se extiende a versiones como 2.34 (RHEL 9).
  • Q: ¿Hay nuevas características para proyectos Dart?
    • A: Sí, Dart ahora soporta metavariables tipadas, binding de metavariables en interpolaciones de string y una mejor fidelidad del parser para Dart 3.