Каково основное улучшение производительности в этом релизе?

Переработка межфайлового движка Semgrep Pro обеспечивает прирост производительности taint-анализа на 20-40%.

Есть ли новые системные требования для пользователей Linux?

Да, бинарные файлы `semgrep-core` manylinux теперь требуют glibc версии >=2.35.

Как переработанный движок Pro может повлиять на существующие результаты безопасности?

Это может привести к небольшому изменению в генерации результатов, потенциально к большему количеству истинных срабатываний или меньшему количеству ложных.

Обновление Semgrep v1.158.0: Ускорение Сканирования, Новые Требования Linux

Semgrep v1.158.0 улучшает производительность межфайлового сканирования, обновляет требования к бинарным файлам Linux и исправляет ошибки.

TL;DR

Значительное повышение производительности межфайлового taint-анализа в Semgrep Pro (на 20-40%).
Параллельная обработка taint-конфигураций для ускорения межфайлового сканирования.
Обновлены системные требования для Linux-бинарных файлов (glibc >=2.35).

Key Changes

Semgrep v1.158.0 представляет значительные обновления, сфокусированные на производительности, системной совместимости и исправлениях ошибок.

Новые Функции и Производительность: Релиз существенно повышает производительность межфайлового сканирования. Вычисление taint-конфигураций, занимающее значительную часть времени semgrep-core, теперь выполняется параллельно, что повышает эффективность. Пользователи Semgrep Pro заметят переработанный межфайловый движок, предлагающий улучшение производительности taint-анализа на 20-40%. Это изменение может незначительно повлиять на генерацию результатов, потенциально приводя к большему количеству истинных срабатываний или меньшему количеству ложных. Также добавлен новый supply chain hook для Semgrep Plugin.

Обновления Системной Совместимости: Бинарные файлы semgrep-core для macOS, manylinux и musllinux теперь динамически линкуются. Для manylinux-бинарных файлов это вводит минимальное требование к версии glibc >=2.35, что затронет системы, такие как Ubuntu <22.04 или Debian <12. Пользователям старых дистрибутивов Linux потребуется обновить свою ОС для соответствия этой новой зависимости. Соответствующие PyPI-колеса теперь помечены, чтобы отразить эти требования glibc и musl libc.

Исправления: Устранены несколько проблем, включая ошибки входа в IDE, когда сетевые сбои некорректно очищали сохраненные токены. Улучшен вывод SARIF taint trace: теперь используются корректные URI файлов и включается полная трассировка вызовов taint sink. Флаг --x-mem-policy теперь корректно распространяется на RPC-подпроцессы, исправляя настройку памяти для разрешения зависимостей.

Для получения полной информации обратитесь к официальному changelog.

Impact for QA Teams

Команды QA могут ожидать более быстрой обратной связи от сканирований безопасности, особенно при использовании Semgrep Pro в CI/CD-пайплайнах, что позволит быстрее выявлять потенциальные уязвимости. Переработанный taint-анализ может предоставить более точные результаты, сокращая время на ложные срабатывания. Однако пользователям Linux следует проверить версию glibc своей ОС, чтобы избежать проблем совместимости с новыми бинарными файлами.

Обновление Semgrep v1.158.0: Ускорение Сканирования, Новые Требования Linux

TL;DR #

Key Changes #

Impact for QA Teams #

Часто задаваемые вопросы

TL;DR

Key Changes

Impact for QA Teams