Обзор релиза Semgrep v1.168.0
TL;DR
- Новый флаг
--x-dependency-pathsдля детализации путей зависимостей цепочки поставок в JSON/SARIF выводе. - Вредоносные правила цепочки поставок теперь явно помечаются как “Malicious” в отчётах сканирования.
- Основной движок регулярных выражений обновлён до
libpcre2 10.xдля повышения производительности и безопасности.
Ключевые изменения
Это минорное обновление Semgrep, выпущенное 24 июня 2026 года, направлено на улучшение анализа безопасности цепочки поставок и внутренней инфраструктуры. Полную информацию можно найти в официальных примечаниях к релизу.
Функциональность
Добавлен новый экспериментальный флаг --x-dependency-paths для команд scan и ci. Этот флаг предоставляет полные пути зависимостей для транзитивных уязвимостей цепочки поставок, обогащая выводы --json и --sarif более глубоким контекстом для уязвимостей.
Улучшения
Улучшена ясность в сводках анализа сканирования: вредоносные правила цепочки поставок теперь помечаются как “Malicious” вместо общего “Basic”. Это изменение делает критические находки безопасности более очевидными.
Обновления инфраструктуры
Основные компоненты Semgrep, включая semgrep-core, Aliengrep (generic mode), а также среды выполнения metavariable-regex и metavariable-comparison, перешли с устаревшей библиотеки регулярных выражений libpcre 8.x на поддерживаемую libpcre2 10.x. Это обновление обеспечивает лучшую долгосрочную стабильность, производительность и безопасность без изменения существующего поведения сопоставления.
Влияние на команды QA
Команды QA теперь могут получать более глубокое понимание уязвимостей цепочки поставок благодаря новому флагу путей зависимостей, улучшая тестирование безопасности и отчётность. Обновление основного движка обеспечивает более стабильное и потенциально быстрое сканирование, что косвенно влияет на циклы тестирования. Более чёткая маркировка вредоносных правил помогает приоритизировать найденные уязвимости во время анализа.
