Architecture de Semgrep : Reference technique complete

contact@rodolpheg.xyz (0xRo) — Wed, 08 Apr 2026 00:00:00 +0000

Semgrep (Semantic Grep) est un outil d’analyse statique multi-langage qui identifie du code par sa structure – et non simplement par son texte – en utilisant un Abstract Syntax Tree unifie et un langage de patterns riche. Ce document couvre l’architecture interne complete, du point d’entree CLI a la detection de taint sink.

Table des matieres

-1. Pourquoi ?

Je travaille en tant qu’ingenieur DevSecOps depuis bientot quatre ans. Quand j’ai commence, j’avais peu d’exposition a des outils comme le SAST, le SCA ou le DAST. Mon etat d’esprit etait fermement ancre dans la securite offensive. Le test d’intrusion etait l’objectif, le reve.

L'audit de code pour les nuls

contact@rodolpheg.xyz (0xRo) — Sat, 02 Aug 2025 00:00:00 +0000

Sujets abordés

Cet article explore l’évolution de la revue de code manuelle vers les tests de sécurité automatisés, en couvrant :

La réalité de la revue de code manuelle et ses limites
La différence entre vulnérabilités et faiblesses
Le fonctionnement interne des outils SAST
L’analyse de teinte (taint analysis) et le suivi des flux de données
Les méthodologies sink-to-source vs source-to-sink
Les stratégies d’atténuation : liste blanche vs liste noire
La gestion des faux positifs en pratique
Le choix et le déploiement d’outils SAST à grande échelle
La complémentarité entre tests manuels et automatisés

Il est 3 heures du matin. Vous en êtes à votre cinquième tasse de café, les yeux injectés de sang, fixant la ligne 2 847 d’une pull request de 10 000 lignes. Quelque part dans ce labyrinthe d’accolades et de points-virgules se cache une injection SQL qui pourrait faire tomber toute votre application. Bienvenue dans le monde glamour de la revue de code manuelle !

SAST on RORO's blog

Architecture de Semgrep : Reference technique complete

Table des matieres

-1. Pourquoi ?

L'audit de code pour les nuls

Sujets abordés