Обзор релиза Semgrep v1.168.0

TL;DR

  • Новый флаг --x-dependency-paths для детализации путей зависимостей цепочки поставок в JSON/SARIF выводе.
  • Вредоносные правила цепочки поставок теперь явно помечаются как “Malicious” в отчётах сканирования.
  • Основной движок регулярных выражений обновлён до libpcre2 10.x для повышения производительности и безопасности.

Ключевые изменения

Это минорное обновление Semgrep, выпущенное 24 июня 2026 года, направлено на улучшение анализа безопасности цепочки поставок и внутренней инфраструктуры. Полную информацию можно найти в официальных примечаниях к релизу.

Функциональность

Добавлен новый экспериментальный флаг --x-dependency-paths для команд scan и ci. Этот флаг предоставляет полные пути зависимостей для транзитивных уязвимостей цепочки поставок, обогащая выводы --json и --sarif более глубоким контекстом для уязвимостей.

Улучшения

Улучшена ясность в сводках анализа сканирования: вредоносные правила цепочки поставок теперь помечаются как “Malicious” вместо общего “Basic”. Это изменение делает критические находки безопасности более очевидными.

Обновления инфраструктуры

Основные компоненты Semgrep, включая semgrep-core, Aliengrep (generic mode), а также среды выполнения metavariable-regex и metavariable-comparison, перешли с устаревшей библиотеки регулярных выражений libpcre 8.x на поддерживаемую libpcre2 10.x. Это обновление обеспечивает лучшую долгосрочную стабильность, производительность и безопасность без изменения существующего поведения сопоставления.

Влияние на команды QA

Команды QA теперь могут получать более глубокое понимание уязвимостей цепочки поставок благодаря новому флагу путей зависимостей, улучшая тестирование безопасности и отчётность. Обновление основного движка обеспечивает более стабильное и потенциально быстрое сканирование, что косвенно влияет на циклы тестирования. Более чёткая маркировка вредоносных правил помогает приоритизировать найденные уязвимости во время анализа.