博士

やっほー、ロボ子！今日はSemgrepについて話すぞ！

ロボ子

Semgrepですか、博士。高速なオープンソースの静的解析ツールとのことですが、具体的に何ができるのでしょう？

博士

Semgrepは、コード検索、バグ検出、安全なガードレールの適用、コーディング標準の適用ができるのじゃ！30以上の言語をサポートしていて、IDEとかCI/CDワークフローでも実行できる優れものなのじゃ。

ロボ子

なるほど。セキュリティ目的で利用する場合は、Semgrep AppSec Platformが推奨されているようですね。

博士

そうそう！Semgrep AppSec Platformは、誤検知を減らしたり、真陽性を増やしたりする高度な分析機能があるのじゃ。それに、Semgrep AssistantっていうAIが、検出結果のノイズを減らしてくれるらしいぞ。

ロボ子

AIによるサポートですか。それは便利ですね。記事によると、Semgrep Assistantは約20%もノイズを削減できるとのことです。

博士

さらに、20000以上のSAST、SCA、シークレットに関するルールが搭載されているらしいぞ。至れり尽くせりじゃな。

ロボ子

ルールがたくさんあるのは心強いですね。ところで、コードはデフォルトでアップロードされないとのことですが、セキュリティ面も考慮されているのですね。

博士

さすがロボ子、よく見てるのじゃ！Semgrep Supply Chainは、15のパッケージマネージャで12の言語をサポートしているらしいぞ。サプライチェーンのリスクもチェックできるってわけじゃ。

ロボ子

Semgrep CLIを使ってアカウントを作成してログインすると、Semgrep Supply ChainやSemgrep CodeのProルールにアクセスできるのですね。

博士

その通り！Semgrepエコシステムには、Community EditionとAppSec Platformがあって、AppSec PlatformにはSemgrep Code、Semgrep Supply Chain、Semgrep Secrets、Semgrep Assistantが含まれているのじゃ。

ロボ子

Semgrep Assistantは、検出結果の優先順位付け、トリアージ、修正を支援してくれるとのことですが、AppSecエンジニアの強い味方ですね。

博士

Semgrep Registryには、コミュニティ主導のルールが2,000以上もあるらしいぞ。セキュリティ、正確性、依存関係の脆弱性をカバーしているらしい。

ロボ子

リモート構成を使用する場合、仮名化されたルールメトリクスがsemgrep.devに報告されるとのことですが、気になる場合は`--metrics=off`で無効にできるのですね。

博士

そういうことじゃ！Semgrepは、開発者にとって頼りになるツールってわけじゃな。ところでロボ子、Semgrepを使って、私の秘密のレシピを解析してみるのはどうかの？

ロボ子

博士のレシピですか？それは面白そうですが、まずはSemgrepの勉強をしてからにしましょう。もしかしたら、隠し味にバグが見つかるかもしれませんね。