44–48 %. Semgreps gratis CLI fängt diesen Anteil an Schwachstellen, bestätigen unabhängige Tests.
Der Rest? Verschlossen hinter 35 $/Monat. 2026 kosten Breaches Firmen Millionen – Equifax’ 1,4-Mrd.-Albtraum. Diese Lücke fühlt sich an wie angelehnte Haustür.
Semgrep. Kein Scanner wie die anderen. Stellen Sie sich einen Bluthund für Code vor, der SQL-Injections, XSS-Horror und deprecated API-Calls wittern, bevor sie zubeißen. Der Open-Source-Kern? Vollkommen gratis. Kein Account. Keine Limits. Per pip oder brew installieren, loslegen – und in Sekunden über 30 Sprachen Bugs jagen, von Python bis Rust, Terraform bis Dockerfiles.
Der Haken: Semgrep teilt sich in zwei Welten – OSS CLI für Einzeldatei-Jagd und Cloud Platform als Enterprise-Boss mit Datenfluss-Tracking über Repos hinweg. Wie Hund im Garten (gratis) gegen GPS-Halsband für die ganze Nachbarschaft (bezahlt).
Was Semgrep gratis liefert – ohne Haken
Unbegrenzte Scans. Jedes Repo, jeder Commit, keine Obergrenzen. Tausende Teams rollen das in Produktions-CI/CD-Pipelines – GitHub Actions, GitLab, Jenkins – umsonst.
Das Registry? 2.800 Community-Regeln, YAML-Gold für OWASP Top 10: Django SQLi, React XSS, Node.js Command-Injections. Qualität schwankt (manche spucken False Positives wie Konfetti), aber für gängige Stacks unschlagbar.
Und Custom Rules – Semgreps Killer-Feature. YAML-Muster in Minuten bauen: Metavariablen für dubiose API-Calls, Taint-Tracking intra-file. Firmenregel „kein deprecated Crypto“? Erledigt. Gratis.
Der Scan-Engine ist derselbe Binärcode wie in der kommerziellen Plattform. Der Unterschied liegt nicht im Engine selbst, sondern in den aktivierten Analyse-Modi.
Direkt aus Semgreps Docs. Gleiche Power unter der Haube; Free-Tier schaltet nur Modi aus.
Geschwindigkeit? Median 10 Sekunden pro Codebase. Entwickler fluchen nicht über Pipelines.
Die 27 %-Lücke – und warum sie wehtut
Single-File-Analyse glänzt bei isolierten Bugs. Echte Angriffe? Die schlängeln sich über Dateien – tainted Inputs von API zur DB, unkontrolliert.
Gratis CLI? Bleibt bei einer Datei. Kein cross-file Flow, kein SCA-Reachability, keine Secrets-Erkennung. Ergebnis: 44–48 % Trefferquote.
Cloud? 72–75 %. Pro-Regeln (über 20.000), KI-Triage räumt False Positives weg, Dashboards bündeln Teams. Das, wovon Security-Leads träumen.
Es ist 2026. AI ist kein Hype – die Plattform-Revolution wie der Strom um 1900. Semgreps KI-Triage lernt Ihre Codebase, markiert echte Bedrohungen, lässt Devs fixen. Free-Tier kommt nicht ran.
Mein Fazit: Es spiegelt Git wider. Free CLI hat Version Control umgekrempelt. GitHub? Bezahlter Schliff – Kollaboration, CI, Secrets. Semgrep macht das Gleiche für Code-Security. OSS schafft Gewohnheit; Cloud baut Imperium aus.
Lohnt Semgrep Cloud mit 35 $ pro Dev/Monat?
Team-Plan: 35 $/Contributor. Enterprise? Maßgeschneidert, mit SLAs und VIP-Onboarding.
Solo-Devs oder Kleinteams? Bleibt bei Free – voll funktionsfähig. Production-ready, unlimited.
Beim Wachstum? 27 %-Lücke häuft
