44-48 %. Voilà la part de failles que la CLI gratuite de Semgrep attrape, d’après des tests indépendants.
Le reste ? Planqué derrière un paywall à 35 $/mois. Et en 2026, alors que les brèches font perdre des millions aux entreprises — souvenez-vous du 1,4 milliard d’Equifax —, cet écart, c’est comme laisser sa porte d’entrée grande ouverte.
Semgrep. Pas un scanner banal. Imaginez un limier du code, qui renifle injections SQL, cauchemars XSS et appels API obsolètes avant qu’ils ne mordent. Le cœur open source ? Gratuit total. Pas de compte. Pas de limites. Installez via pip ou brew, lancez, et vous traquez les bugs en secondes sur plus de 30 langages — Python à Rust, Terraform à Dockerfiles.
Mais voilà le hic. Semgrep se décline en deux mondes : CLI OSS pour chasses fichier par fichier, et plateforme Cloud, le patron des entreprises avec suivi des flux de données entre dépôts. C’est comme offrir un jardin à votre chien (gratuit) contre un collier GPS qui cartographie tout le quartier (payant).
Ce que Semgrep offre gratuitement — sans arnaque
Scans illimités. Tous les dépôts, tous les commits, sans quota. Des milliers d’équipes l’intègrent en prod dans leurs pipelines CI/CD — GitHub Actions, GitLab, Jenkins — sans débourser un centime.
Le registre ? 2 800 règles communautaires, de l’or en YAML pour les hits OWASP Top 10 : SQLi Django, XSS React, injections de commandes Node.js. La qualité varie (certaines crachent des faux positifs comme des confettis), mais pour les stacks mainstream, c’est du béton.
Et les règles custom — le secret de Semgrep. Fabriquez des patterns YAML en minutes : métavariables pour choper les appels API louches, suivi de taint intra-fichier. Imposez la politique maison « pas de crypto obsolète » ? C’est plié. Gratuit.
Le moteur de scan est le même binaire que celui qui alimente la plateforme commerciale. La différence n’est pas dans le moteur lui-même, mais dans les modes d’analyse activés.
Droit sorti des docs Semgrep. Même cheval-vapeur sous le capot ; la version gratuite bride juste quelques vitesses.
Vitesse ? 10 secondes médianes par codebase. Les devs ne maudiront pas votre pipeline.
L’écart de 27 % en détection — et pourquoi ça pique
L’analyse mono-fichier excelle sur les bugs isolés. Mais les vraies attaques ? Elles serpentent entre fichiers — inputs pollués qui filent de l’API à la base sans contrôle.
CLI gratuit ? Reste sur sa voie. Pas de flux inter-fichiers, pas de reachability SCA, pas de détection de secrets. Résultat : 44-48 % de taux de capture.
Cloud ? 72-75 %. Règles Pro (20 000+), triage IA qui trie les faux positifs, dashboards pour fédérer les équipes. Du rêve pour les responsables sécu.
On est en 2026. L’IA n’est plus du buzz — c’est le basculement des plateformes, comme l’électricité au XXe siècle. Le triage IA de Semgrep ? Il apprend votre codebase, signale les vraies menaces, laisse les devs corriger rapido. La gratuite ne touche pas à cette prouesse.
Mon avis perso : ça rappelle l’é
