Was Semgrep CE gut macht
- • Kostenlos und OSS (LGPL-2.1) — keine Lizenzkosten.
- • Polyglotte Regel-Engine — schreiben Sie eine Regel einmal und führen Sie sie auf mehreren Sprachen mit derselben Syntax aus.
- • Schnell — in OCaml geschrieben, sehr performant auf großen Repos.
- • Hervorragendes Authoring von Custom-Rules — die pattern-basierte DSL ist eine der besten der Branche.
- • Aktive Community, die Regeln zum Semgrep Registry beiträgt, mit einem Engineering-Blog über Taint Flow und Regel-Design.
Wo sich die Wahl unterscheidet
| StaticCodeAudit | Semgrep CE | |
|---|---|---|
| Regeln out-of-the-box | 697 kuratiert, alle CWE/WCAG-gemappt | Variabel — abhängig von den Registry-Paketen, die Sie ziehen |
| ISO 27001 / ASVS / NIST-Matrizen | Integriert | Nicht gebündelt (selbst zusammenstellen) |
| Self-contained HTML-Bericht | Ja — 12+ Charts, brand-fähig | SARIF/JSON; HTML über Drittanbieter-Tools |
| Historischer Baseline-Vergleich | Integriert (10 Snapshots) | Manuell / über Semgrep AppSec Platform (kostenpflichtig) |
| Authoring von Custom-Rules | DSL .sca + interaktiver Wizard | Pattern-basierte DSL (exzellent) |
| Sprachen | 8 (Python, JS/TS, HTML, Java, C#, PHP, YAML, Dockerfile) | 25+ |
| Lizenzkosten | 990 € → 30 K€+/Jahr | Kostenlos (CE) / kostenpflichtig (AppSec Platform) |
| Aufwand für Compliance-Reporting | Klick auf „Generieren" | Selbst aufbauen |
Vergleich basiert auf Semgrep CE / Semgrep Registry Stand Mai 2026. Quelle: semgrep.dev.
Wählen Sie StaticCodeAudit, wenn…
- ✅ Sie einen Compliance-Ordner brauchen, der bereit ist, einem Auditor übergeben zu werden — ISO-27001-Anhang-A-Matrix, ASVS-Verifikationen, WCAG-2.1-Mapping, alles in einem HTML.
- ✅ Sie das Regelpaket und die Reporting-Schicht nicht selbst aufbauen möchten.
- ✅ Sie bereit sind, für ein gewartetes, kuratiertes, gebrandetes kommerzielles Produkt zu bezahlen, statt für ein OSS-Toolkit.
- ✅ Sie historischen Baseline-Vergleich möchten, ohne für eine AppSec-Plattform zu bezahlen.
Wählen Sie Semgrep CE, wenn…
- ✅ Sie Ingenieure haben, die gerne Regeln schreiben und maximale Flexibilität bei der DSL wünschen.
- ✅ Sie nur Findings in JSON/SARIF brauchen — keinen HTML-Bericht, keine Compliance-Matrix.
- ✅ Ihr Team bereits eine SAST-Orchestrierungs-Pipeline hat (DefectDojo, GitHub Code Scanning) und Sie nur einen schnellen Scanner möchten.
- ✅ Das Budget die wichtigste Einschränkung ist und Sie Zeit haben, die benötigten Regelpakete zusammenzustellen.
Die Architektur in einem Satz je Tool
StaticCodeAudit
Eine einzige Binary, läuft offline, liefert 697 kuratierte Regeln bereits auf CWE / WCAG / ISO 27001 / ASVS / NIST CSF gemappt. Sie starten ./run_audit.py (oder die Binary) und erhalten einen HTML-Bericht, der bereit ist, einer Audit-Akte beigelegt zu werden.
Semgrep CE
Ebenfalls eine CLI, die lokal läuft (kein Quellcode-Upload, wenn Sie bei CE bleiben). Starkes YAML-basiertes Regel-DSL. Sie bringen Ihre eigenen Regeln mit oder ziehen Pakete aus der Semgrep Registry. Die Community Edition liefert weder Compliance-Matrizen noch eigenständige HTML-Berichte — diese sind in der kostenpflichtigen Semgrep AppSec Platform.
Beide Tools teilen die Offline-Philosophie, wenn Sie bei Semgrep CE bleiben. Die eigentliche Wahl liegt zwischen « ich schreibe meine Regeln und stelle die Compliance-Beweise selbst zusammen » (Semgrep) und « ich will kuratierte Abdeckung + auditbereiter Bericht ab Tag 1 » (StaticCodeAudit).
Konkrete Preisszenarien (jährlich)
Semgrep CE ist kostenlos (OSS, Apache-2.0). Die kostenpflichtige Semgrep AppSec Platform ergänzt Dashboard, Baseline, Organisationsregeln, Support; pro Entwickler im selben Bereich wie andere SaaS-SAST (~40 $/dev/Monat veröffentlicht; Enterprise auf Anfrage). StaticCodeAudit ist eine jährliche Pauschale in jedem Tier — keine Sitzplatzzählung.
| Scenario | StaticCodeAudit | Semgrep |
|---|---|---|
| Solo / Freelance 1 Entwickler, ~50 K SLOC |
990 €/Jahr (Solo-Tier, kuratiert + Audit-Bericht) | Kostenlos (CE) — Sie bringen/schreiben Ihre Regeln |
| Startup / kleines Team 10 Entwickler, ~500 K SLOC |
3 990 €/Jahr (Team, Pauschale) | Kostenlos (CE) oder Semgrep AppSec Platform (~40 $ × 10 × 12 = 4 800 $/Jahr für Managed) |
| Mittelstand / reguliert 30 Entwickler, ~2 M SLOC |
11 990 €/Jahr (Team Plus, Pauschale) | Semgrep AppSec Platform Enterprise (auf Anfrage; öffentliche Liste 5-stellig) |
Semgrep CE: kostenlos unter Apache 2.0. Semgrep AppSec Platform Preise: semgrep.dev/pricing. Umrechnung 1 € ≈ 1,07 USD (Mai 2026, indikativ).
Häufige Fragen
Ist Semgrep CE wirklich kostenlos und offline-fähig?
Ja. Semgrep Community Edition ist OSS (Apache 2.0), läuft komplett als lokale CLI und macht keine Cloud-Aufrufe für die Analyse selbst. Die kostenpflichtige Semgrep AppSec Platform legt ein Cloud-Dashboard darauf. Wenn Ihr einziges Anliegen « Offline-Scanning » ist, erfüllt Semgrep CE das — die Wahl verschiebt sich dann auf kuratierte Regeln vs. DIY.
Warum für StaticCodeAudit zahlen, wenn Semgrep CE kostenlos ist?
Sie zahlen für drei Dinge, die Semgrep CE Ihnen überlässt: (1) die 697 kuratierten Regeln mit expliziter Metadaten (CWE, OWASP, ISO Anhang A, ASVS v5, NIST CSF) — diesen Katalog zusammenzustellen kostet erheblich Zeit; (2) den eigenständigen HTML-Bericht mit Branding, 12+ Charts und historischem Vergleich; (3) gebündelte Compliance-Matrizen, bereit für die Audit-Akte. Wenn Sie ein internes Security-Team haben, das Semgrep-Regeln kuratiert und Reporting baut, ist Semgrep CE ein gangbarer Weg.
Kann man Semgrep-Regeln in StaticCodeAudit importieren (und umgekehrt)?
Heute nicht direkt. Die beiden DSLs unterscheiden sich: Semgrep nutzt YAML mit AST-Pattern-Matching, StaticCodeAudit nutzt .sca mit Regex-/AST-/Taint-Modi. Migration erfolgt Regel für Regel, aber die Konzepte entsprechen sich (Source → Sink, Sanitizer, Schweregrad, Sprache). Der Wizard --create-rule beschleunigt das Umschreiben.
Wie sieht es mit der Sprachabdeckung aus?
Semgrep wirbt mit 30+ Sprachen. StaticCodeAudit deckt 8 ab (Python, JavaScript/TypeScript, HTML, Java, C#, PHP, YAML, Dockerfile). Wenn Sie Go, Rust, Ruby, Kotlin, Swift oder C/C++ scannen, hat Semgrep heute die breitere Abdeckung.
Kann man beide parallel betreiben?
Ja, es sind unabhängige CLIs ohne Konflikt. Viele Teams nutzen Semgrep CE für « alles Pattern-Matchbare entdecken » und eine kuratierte SAST wie StaticCodeAudit für « die Compliance-Beweise liefern ». Die Findings überlappen teilweise; die Deduplizierung passiert beim Triage auf Basis des CWE.
Sehen Sie, wie 697 kuratierte Regeln + Matrizen aussehen
Öffnen Sie den Live-Demo-Bericht — auf einer echten Codebasis erzeugt, alle Charts interaktiv, ISO/ASVS/WCAG-Matrizen inklusive.
Live-Bericht öffnen Geführte Demo buchen