Symposium sur la sécurité des technologies de l'information et des communications

Semgrep est un outil d'analyse statique de code. Il permet de rechercher des motifs dans le code source, codifiés dans des règles avec une syntaxe simple et intuitive. Il peut être utilisé pour identifier des vulnérabilités de sécurité, des anti-patterns, des bugs, des erreurs de configuration, des problèmes de performance, etc. Il peut aussi permettre de s'assurer que le code respecte des règles de codage propres à une entreprise ou à une équipe. Semgrep mets à disposition une analyse sémantique du code source, une analyse de dataflow, la possibilité d'extraire et analyser du code intégré dans d'autres fichiers (p.ex. JavaScript dans un fichier HTML), etc. tout en restant rapide et simple d'utilisation. Semgrep est disponible en ligne de commande et peut être intégré dans des pipelines de CI/CD. Dans cette présentation, après une introduction à Semgrep, son architecture et son usage, on va montrer comment Semgrep peut être utilisé pour identifier des vulnérabilités de sécurité comme SQL Injection, Cross-Site Scripting et Hardcoded Secrets, et les fonctionnalités des règles qui peuvent être utilisées pour y parvenir. On va aussi présenter comment Semgrep peut permettre l'adoption de règles de sécurité par défaut et le prévention de nombreuses vulnérabilités.