Del 44% al 48%. Esa es la tajada de vulnerabilidades que pilla la CLI gratuita de Semgrep, según pruebas independientes.
¿El resto? Tras un muro de 35 dólares al mes. Y en 2026, con brechas que cuestan millones a las empresas —piensa en el desastre de Equifax por 1.400 millones—, esa brecha es como dejar la puerta entreabierta.
Semgrep no es un escáner cualquiera. Imagina un sabueso del código, olfateando inyecciones SQL, pesadillas XSS y llamadas a APIs obsoletas antes de que muerdan. ¿El núcleo de código abierto? Totalmente gratis. Sin cuenta. Sin límites. Instálalo con pip o brew, lánzalo y en segundos estás cazando bugs en más de 30 lenguajes, de Python a Rust, Terraform o Dockerfiles.
Pero aquí viene el giro. Semgrep se divide en dos fieras: la CLI OSS para inspecciones por archivo suelto, y la Plataforma Cloud, el jefe empresarial con seguimiento de flujos de datos entre repos. Es como darle a tu perro un patio (gratis) frente a un collar GPS que mapea todo el barrio (de pago).
Lo que te da Semgrep gratis, sin trampa ni cartón
Escaneos ilimitados. Todos los repos, todos los commits, sin techos. Miles de equipos lo corren en pipelines de CI/CD en producción —GitHub Actions, GitLab, Jenkins— sin soltar un centavo.
¿El registro? 2.800 reglas comunitarias, oro en YAML para los grandes de OWASP Top 10: SQLi en Django, XSS en React, inyecciones de comandos en Node.js. La calidad varía (algunas lanzan falsos positivos como confeti), pero para stacks mainstream, es a prueba de balas.
Y reglas personalizadas, el as bajo la manga de Semgrep. Crea patrones en YAML en minutos: metavariables que agarran llamadas API dudosas, seguimiento de taint dentro de archivos. ¿Quieres imponer en tu org “nada de crypto obsoleta”? Hecho. Gratis.
El motor de escaneo es el mismo binario que impulsa la plataforma comercial. La diferencia no está en el motor, sino en los modos de análisis activados.
Directo de la documentación de Semgrep. Misma potencia bajo el capó; la gratuita solo frena algunos engranajes.
¿Velocidad? Mediana de 10 segundos por codebase. Los devs no maldecirán tu pipeline.
La brecha del 27% en detección —y por qué duele
El análisis por archivo brilla en bugs aislados. ¿Pero ataques reales? Se cuelan entre archivos —inputs contaminados que fluyen de API a base de datos sin control.
¿CLI gratuita? Se queda en su carril. Nada de flujos entre archivos, nada de reachability SCA, nada de detección de secretos. Resultado: 44-48% de tasa de captura.
¿Cloud? 72-75%. Reglas Pro (más de 20.000), triaje con IA que filtra falsos positivos, dashboards que unen equipos. El sueño de cualquier lead de seguridad.
Oye, estamos en 2026. La IA no es humo, es el cambio de plataforma, como la electricidad en los 1900. ¿El triaje con IA de Semgrep? Aprende tu codebase, marca amenazas reales, deja que los devs arreglen rápido. La gratuita no roza esa maravilla.
Mi visión única: Esto es el Git 2.0 para seguridad. La CLI gratuita de código abierto
