Architecture de Semgrep : Reference technique complete

contact@rodolpheg.xyz (0xRo) — Wed, 08 Apr 2026 00:00:00 +0000

Semgrep (Semantic Grep) est un outil d’analyse statique multi-langage qui identifie du code par sa structure – et non simplement par son texte – en utilisant un Abstract Syntax Tree unifie et un langage de patterns riche. Ce document couvre l’architecture interne complete, du point d’entree CLI a la detection de taint sink.

Table des matieres

-1. Pourquoi ?

Je travaille en tant qu’ingenieur DevSecOps depuis bientot quatre ans. Quand j’ai commence, j’avais peu d’exposition a des outils comme le SAST, le SCA ou le DAST. Mon etat d’esprit etait fermement ancre dans la securite offensive. Le test d’intrusion etait l’objectif, le reve.

Comprendre les Code Property Graphs

contact@rodolpheg.xyz (0xRo) — Tue, 05 Aug 2025 00:00:00 +0000

Quand j’ai commence a developper des outils pour l’audit de code source, mon besoin principal etait de suivre les flux de donnees corrompues (tainted) a travers des bases de code complexes lors de revues de code manuelles. Au depart, je me suis tourne vers Tree-Sitter, qui s’est avere excellent pour l’analyse de fichiers individuels grace a ses capacites de parsing rapide et incrementiel. Cependant, en passant a des bases de code plus volumineuses avec des dependances inter-fichiers complexes et des flux de donnees, l’approche AST-only de Tree-Sitter est devenue limitante. Le defi n’etait pas simplement de parser des fichiers individuels. Il s’agissait de comprendre comment les donnees circulent entre les fonctions, a travers les modules et via differents chemins d’execution lors d’evaluations de securite manuelles approfondies.

Research on RORO's blog

Architecture de Semgrep : Reference technique complete

Table des matieres

-1. Pourquoi ?

Comprendre les Code Property Graphs