Resumen de la Versión Semgrep v1.168.0

TL;DR

  • Nueva bandera --x-dependency-paths para rutas de dependencia de cadena de suministro detalladas en salida JSON/SARIF.
  • Las reglas de cadena de suministro maliciosas ahora se etiquetan explícitamente como “Malicious” en los resúmenes de escaneo.
  • Motor de expresiones regulares central actualizado a libpcre2 10.x para mejorar el rendimiento y la seguridad.

Cambios Clave

Esta actualización menor de Semgrep, lanzada el 24 de junio de 2026, se centra en mejorar el análisis de seguridad de la cadena de suministro y la infraestructura interna. Para obtener detalles completos, consulte las notas de la versión oficial.

Funcionalidades

Se ha añadido una nueva bandera experimental, --x-dependency-paths, a los comandos scan y ci. Esta bandera proporciona las rutas de dependencia completas para los hallazgos de cadena de suministro transitiva, enriqueciendo las salidas --json y --sarif con un contexto más profundo para las vulnerabilidades.

Mejoras

La claridad en los resúmenes de análisis de escaneo ha mejorado: las reglas de cadena de suministro maliciosas ahora se etiquetan como “Malicious” en lugar del genérico “Basic”. Este cambio hace que los hallazgos de seguridad críticos sean más inmediatamente identificables.

Actualizaciones de Infraestructura

Los componentes centrales de Semgrep, incluyendo semgrep-core, Aliengrep (modo genérico) y los runtimes metavariable-regex y metavariable-comparison, han migrado de la biblioteca de expresiones regulares libpcre 8.x (obsoleta) a la libpcre2 10.x (mantenida). Esta actualización asegura una mejor estabilidad, rendimiento y seguridad a largo plazo sin alterar el comportamiento de coincidencia existente.

Impacto para Equipos de QA

Los equipos de QA pueden obtener información más profunda sobre las vulnerabilidades de la cadena de suministro con la nueva bandera de rutas de dependencia, mejorando las pruebas de seguridad y los informes. La actualización del motor central asegura escaneos más estables y potencialmente más rápidos, beneficiando indirectamente los ciclos de prueba. El etiquetado más claro de las reglas maliciosas ayuda a priorizar los hallazgos de seguridad durante el análisis.