https://blog.rodolpheg.xyz/fr/tags/semgrep/Recent content in Semgrep on RORO's blogHugofrcontact@rodolpheg.xyz (0xRo)contact@rodolpheg.xyz (0xRo)Wed, 08 Apr 2026 00:00:00 +0000https://blog.rodolpheg.xyz/fr/posts/semgrep-architecture/Wed, 08 Apr 2026 00:00:00 +0000contact@rodolpheg.xyz (0xRo)https://blog.rodolpheg.xyz/fr/posts/semgrep-architecture/<blockquote> <p><strong>Semgrep</strong> (Semantic Grep) est un outil d&rsquo;analyse statique multi-langage qui identifie du code par sa <em>structure</em> &ndash; et non simplement par son texte &ndash; en utilisant un Abstract Syntax Tree unifie et un langage de patterns riche. Ce document couvre l&rsquo;architecture interne complete, du point d&rsquo;entree CLI a la detection de taint sink.</p> </blockquote> <h2 id="table-des-matieres">Table des matieres</h2> <ol start="0"> <li><a href="https://blog.rodolpheg.xyz/fr/posts/semgrep-architecture/#0-introduction">Introduction</a> <ul> <li><a href="https://blog.rodolpheg.xyz/fr/posts/semgrep-architecture/#01-quest-ce-que-le-sast">Qu&rsquo;est-ce que le SAST ?</a></li> <li><a href="https://blog.rodolpheg.xyz/fr/posts/semgrep-architecture/#02-histoire-de-semgrep">Histoire de Semgrep</a></li> </ul> </li> <li><a href="https://blog.rodolpheg.xyz/fr/posts/semgrep-architecture/#1-architecture-de-haut-niveau">Architecture de haut niveau</a></li> <li><a href="https://blog.rodolpheg.xyz/fr/posts/semgrep-architecture/#2-decomposition-des-composants">Decomposition des composants</a></li> <li><a href="https://blog.rodolpheg.xyz/fr/posts/semgrep-architecture/#3-le-pipeline-danalyse-complet">Le pipeline d&rsquo;analyse complet</a></li> <li><a href="https://blog.rodolpheg.xyz/fr/posts/semgrep-architecture/#4-decouverte-et-filtrage-des-cibles">Decouverte et filtrage des cibles</a></li> <li><a href="https://blog.rodolpheg.xyz/fr/posts/semgrep-architecture/#5-parsing-et-optimisation-des-regles">Parsing et optimisation des regles</a></li> <li><a href="https://blog.rodolpheg.xyz/fr/posts/semgrep-architecture/#6-parsing-et-last-universel">Parsing et l&rsquo;AST universel</a></li> <li><a href="https://blog.rodolpheg.xyz/fr/posts/semgrep-architecture/#7-le-moteur-de-matching">Le moteur de matching</a></li> <li><a href="https://blog.rodolpheg.xyz/fr/posts/semgrep-architecture/#8-le-langage-intermediaire-il-et-le-cfg">Le langage intermediaire (IL) et le CFG</a></li> <li><a href="https://blog.rodolpheg.xyz/fr/posts/semgrep-architecture/#9-analyse-de-taint-dataflow">Analyse de taint (Dataflow)</a></li> <li><a href="https://blog.rodolpheg.xyz/fr/posts/semgrep-architecture/#10-pipeline-de-sortie-et-de-reporting">Pipeline de sortie et de reporting</a></li> <li><a href="https://blog.rodolpheg.xyz/fr/posts/semgrep-architecture/#11-architecture-osemgrep--rpc">Architecture OSemgrep / RPC</a></li> <li><a href="https://blog.rodolpheg.xyz/fr/posts/semgrep-architecture/#12-structures-de-donnees-cles">Structures de donnees cles</a></li> </ol> <hr> <h2 id="-1-pourquoi-">-1. Pourquoi ?</h2> <p>Je travaille en tant qu&rsquo;ingenieur DevSecOps depuis bientot quatre ans. Quand j&rsquo;ai commence, j&rsquo;avais peu d&rsquo;exposition a des outils comme le SAST, le SCA ou le DAST. Mon etat d&rsquo;esprit etait fermement ancre dans la securite offensive. Le test d&rsquo;intrusion etait l&rsquo;objectif, le reve.</p>