44-48%. É o pedaço de vulnerabilidades que o CLI grátis do Semgrep pega, segundo testes independentes.
O resto? Trancado atrás de um paywall de US$ 35 por mês. E em 2026, com vazamentos custando milhões pras empresas — lembra do pesadelo de US$ 1,4 bilhão da Equifax? —, essa diferença é tipo deixar a porta da frente entreaberta.
Semgrep. Não é só mais um scanner. É um farejador de códigos, caçando injeções SQL, XSS malucos e chamadas de API depreciadas antes que elas mordam. O núcleo de código aberto? Totalmente grátis. Sem conta. Sem limites. Instala via pip ou brew, roda e pronto: tá caçando bugs em segundos em mais de 30 linguagens — de Python a Rust, Terraform a Dockerfiles.
Mas aí vem a pegadinha. O Semgrep se divide em duas feras: CLI OSS pra detetive de arquivo único, e Plataforma Cloud, o chefe da parada pra empresas, com rastreio de fluxo de dados entre repositórios. É tipo dar um quintal pro seu cachorro (grátis) versus um GPS que mapeia o bairro todo (pago).
O Que o Semgrep Te Dá de Graça — Sem Pegadinha
Scans ilimitados. Todo repo, todo commit, sem teto. Milhares de times rodam isso em pipelines de CI/CD de produção — GitHub Actions, GitLab, Jenkins — sem gastar um centavo.
O registry? 2.800 regras da comunidade, YAML puro ouro pro OWASP Top 10: SQLi no Django, XSS no React, injeções de comando no Node.js. A qualidade varia (algumas cospem falsos positivos que nem confete), mas pra stacks mainstream, é na lata.
E regras customizadas — o molho secreto do Semgrep. Monta padrões em YAML em minutos: metavariáveis pegando chamadas de API suspeitas, rastreio de taint dentro de arquivos. Impõe a política da sua org de “nada de crypto depreciado”? Feito. De graça.
O motor de scanning é o mesmo binário que roda na plataforma comercial. A diferença não tá no motor em si, mas nos modos de análise ativados.
Trecho direto da doc do Semgrep. Mesma potência no capô; o grátis só deixa alguns câmbios em ponto morto.
Velocidade? Mediana de 10 segundos por codebase. Os devs não vão xingar seu pipeline.
A Lacuna de 27% na Detecção — E Por Que Isso Dói
Análise de arquivo único brilha em bugs isolados. Mas ataques reais? Eles rastejam entre arquivos — inputs contaminados indo de API pro banco de dados, sem freio.
CLI grátis? Fica na sua faixa. Sem fluxos entre arquivos, sem reachability de SCA, sem detecção de segredos. Resultado: 44-48% de acerto.
Cloud? 72-75%. Regras Pro (20 mil+), triagem por IA separando falsos positivos, dashboards unindo o time. É o sonho dos heads de segurança.
Olha, é 2026. IA não é hype — é a mudança de plataforma, tipo eletricidade nos anos 1900. A triagem por IA do Semgrep? Aprende seu código, flagra ameaças reais, deixa os devs consertarem rápido. O grátis nem chega perto dessa maravilha.
Minha visão exclusiva: Isso espelha a evolução do Git. O CLI grátis mudou o controle de versão pra sempre. GitHub? Acabamento pago — colaboração, CI, segredos. O Semgrep tá fazendo o mesmo com segurança de código.
