Semgrep v1.165.0: Contexto de Salida y Validación de Reglas

Key Changes #

Semgrep v1.165.0, lanzado el 3 de junio de 2026, introduce mejoras en el control de salida, la validación de reglas y la fiabilidad de los escaneos, en las categorías de Performance y Security.

Una adición clave es la opción --max-match-context-size. Esta permite limitar la cantidad de caracteres del código fuente incluidos como contexto para cada match en la salida. Esta característica es particularmente útil para evitar salidas excesivamente grandes de matches encontrados en archivos minificados, como JavaScript minificado, donde un archivo completo podría existir en una sola línea. Por defecto, el valor es 0, lo que significa contexto ilimitado.

La bandera --x-no-python-schema-validation ha sido reemplazada por la bandera más detallada --x-rule-validation. Esta nueva bandera ofrece las opciones full, core-only o none, proporcionando un control más fino sobre el comportamiento de validación de reglas. La opción predeterminada full mantiene la validación de reglas de Python existente. La bandera antigua ahora está deprecada, pero aún se acepta como una no-operación con una advertencia, y está programada para ser eliminada en una futura versión. Además, la gramática de Python ha sido actualizada (LANG-201).

Las correcciones en esta versión incluyen la adición de operaciones de bit shift a la comparación de metavariables, mejorando su precisión más allá de las operaciones aritméticas estándar y lógicas de bits (ENGINE-2448). Además, se ha mejorado la fiabilidad del escaneo de secretos. Los resultados intermitentes de validation_error en los validadores de secretos HTTP (por ejemplo, Facebook, Slack, Stripe, Google, Cloudflare) ahora se reducen al implementar lógica de reintento para fallas de red transitorias, replicando el comportamiento de reintento ya presente para los validadores de AWS (SCRT-965).

Para detalles completos, consulte el changelog oficial.

Impact for QA Teams #

Los ingenieros de QA que siguen las actualizaciones de herramientas SAST encontrarán valor directo en estos cambios. La nueva opción --max-match-context-size ayuda a gestionar la verbosidad de los informes de escaneo, haciéndolos más legibles y eficientes de revisar, especialmente en proyectos que utilizan assets minificados. La mejora en la fiabilidad del escaneo de secretos se traduce directamente en evaluaciones de seguridad más precisas, ya que menos problemas de red transitorios llevarán a hallazgos perdidos o retrasados para secretos críticos. Las opciones actualizadas de validación de reglas proporcionan mayor flexibilidad para personalizar y depurar reglas de Semgrep, permitiendo a los equipos de QA ajustar sus procesos de análisis estático.