最近一轮融资 01
$100M Series D [CI001] 尽调报告
Semgrep
全面尽调报告 — 2026 年 5 月
Semgrep 是具备投资级质量的开发者 AppSec 平台,技术护城河真实、开发者采用强;但 GitHub GHAS 带来的竞争风险和财务不透明度仍高, 数据室确认前不足以形成无条件确信,只能维持有条件兴趣。
封面要素
公司概况
Semgrep(前身为 r2c)是一家总部位于旧金山的应用安全平台,由 Isaac Evans(CEO)、Drew Dennison(CTO)和 Luke O'Malley(CPO)于 2017 年联合创立。公司以 OCaml 编写的高性能静态分析引擎为核心,构建面向开发者的安全工具, 支持 40+ 种编程语言。平台包含四款产品:Semgrep Code(SAST)、Semgrep Supply Chain(含可达性分析的 SCA)、 Semgrep Secrets(实时验证的密钥检测)和 Semgrep Assistant(AI 驱动的漏洞分类与自动修复)。开源 Community Edition 在 GitHub 上累计获得 14,300+ Star,年均扫描次数超过 7500 万次。公司于 2025 年 2 月完成由 Menlo Ventures 领投的 $100M Series D,累计融资达 $204M。
- 成立时间
- 2017-01-01
- 创始人
- Isaac Evans, Drew Dennison, Luke O'Malley
- 创立地点
- San Francisco, CA (formerly Cambridge, MA research lab)
- 总部
- San Francisco, CA
- 产品
- Semgrep Code(SAST):基于模式匹配与过程间分析,支持 40+ 种语言,配备 20,000+ 条 Pro 规则和 3,000+ 条社区规则库。 Semgrep Supply Chain(SCA):具备可达性感知的开源依赖漏洞分析。Semgrep Secrets:实时验证的密钥检测。 Semgrep Assistant:AI 驱动的漏洞分类(降低误报率)及代码修复建议。Semgrep AppSec Platform:统一漏洞管理、 策略执行,以及面向组织级部署的托管扫描(Managed Scanning)。
- 客户
- 目标客户为拥有大规模开发团队的企业及成长期科技公司;先以开源 CE(免费,≤10 个代码库)建立切入点, 再向 Teams 层级($30/contributor/月)和 Enterprise(自定义 ACV)转化。
- 商业模式
- PLG → 企业销售:免费 CE 层驱动开发者采用,撬动漏斗顶部;Teams 自助订阅($30/contributor/月)完成开发团队转化; Enterprise 直销面向多产品、多团队部署,采用自定义 ACV。GitLab OEM 集成提供合作伙伴分销渠道。
- 阶段
- Series D
- 融资情况
- $100M Series D 于 2025 年 2 月完成,由 Menlo Ventures 领投;原有投资方包括 Lightspeed、Redpoint、Sequoia Capital、 Felicis Ventures。累计融资:$204M。
执行摘要
主要优势
- Pro Engine 的跨文件 / 跨函数过程间数据流分析,GitHub GHAS 原生 SAST 和 Opengrep CE 都尚未复刻。
- Code、Supply Chain、Secrets、Assistant 多产品平台,可从 $30/contributor/month 切入后扩张。
- 每年 75M+ OSS 扫描、14,300+ GitHub stars,形成持续复利的 PLG 开发者飞轮。
- Menlo、Lightspeed、Sequoia、Redpoint、Felicis 等一线投资人组合验证增长逻辑。
- SOC 2 Type II、GDPR DPA、FedRAMP Ready 已具备,企业合规底座基本到位。
主要风险
- GitHub GHAS + Copilot Autofix 是结构性竞争威胁:面向 GitHub Enterprise 客户的零边际成本 SAST + AI 分诊,可直接替代 Semgrep Teams。
- Opengrep 分叉(2025 年 1 月、AGPLv3、声称速度提升 3.15x)威胁 PLG CE 获客入口。
- 财务不透明:ARR、NRR、队列留存和烧钱完全未披露;没有数据室,无法以高确信度承销投资。
- 2024 年 12 月 CE 许可证变更带来 LGPL-2.1 重新授权合规风险;3,000+ 社区贡献者的 CLA 覆盖未确认。
- 资本依赖:Series E 融资窗口估计在 12–18 个月后(2027 H1–H2),需要 ARR 加速增长。
未决问题
- 2026 Q1 ARR 和同比增速;$33.6M 估计已滞后 9 个月,且来自众包。
- 净留存率(NRR):决定乐观 / 基准 / 悲观情景分化的唯一指标。
- LGPL-2.1 法律意见,以及社区规则贡献者的 CLA 覆盖。
- 烧钱速度、现金余额和 Series E 融资时间表。
- 2024 年 12 月 Opengrep 分叉前后的 CE 扫描量趋势,用于判断 PLG 漏斗健康度。
目录
01公司概况
1.1 身份与创立
Semgrep, Inc. 是一家总部位于加利福尼亚州旧金山的应用安全公司,法人实体于 2017 年 5 月 15 日注册成立。公司最初以 r2c(Return to Corporation)运营,随着旗舰开源产品获得广泛认可后更名为 Semgrep。三位创始人 Isaac Evans、 Drew Dennison 和 Luke O'Malley 均毕业于 MIT 电气工程与计算机科学专业,本科期间在 Simmons Hall 相识,从 学生时代便开始合作研究安全项目。 公司的创立源于三位创始人共同的痛点:软件安全工具对大多数开发者而言遥不可及,所需专业技能仅存在于少数大型科技公司。 2016 年他们开始研究软件安全领域;2019 年发现了最初由 Facebook 构建的休眠开源项目 sgrep。通过内部黑客马拉松, 他们复活并扩展了该项目,增加了更广泛的语言支持和更高层次的代码分析能力。2020 年项目更名为 Semgrep,以体现新的 定位与更宏大的使命。 公司使命是"让漏洞利用变得代价高昂"——将世界级安全工具普及给软件工程师和安全工程师。Semgrep 的核心理念是可扩展性: 安全规则的写法与所分析的源代码相似,让任何开发者(而非只有专家)都能编写、共享和扩展扫描规则。这种普惠化理念催生了 庞大的开源社区,也加速了企业采用。截至 2026 年 5 月,Semgrep 每年驱动超过 7500 万次源代码安全扫描,覆盖 40+ 种编程语言,已累计发布 100+ 个版本(含每周更新)。 [CO001, CO002, CO003, CO004, CO005, CO006]
| 指标 | 数值 / 状态 | 数据截止日期 | 置信度 | 缺口 / 注意事项 |
|---|---|---|---|---|
| 累计融资总额 | $204M | 2025-02 | high | 无债务或老股交易详情 |
| 最近一轮融资 | Series D $100M | 2025-02-05 | high | — |
| D 轮领投方 | Menlo Ventures | 2025-02-05 | high | — |
| 估值 | ~$1B+(独角兽区间,未确认) | 2025-02 | low | 无官方估值披露 |
| ARR / 收入 | 未公开披露 | 2026-05 | low | 私营公司;无公开文件 |
| 员工数 | ~257 employees | 2026-03 | medium | Tracxn 估算,公司未确认 |
| 年代码扫描次数 | 75M+ | 2026-05 | high | 公司自行披露 |
| 支持语言数 | 40+ | 2026-05 | high | — |
| 社区规则数 | 3,000+ | 2026-05 | high | — |
| GitHub Stars | 14,300+ | 2026-05 | medium | 仅作开发者信号指标 |
| 发布频率 | 100+ per year | 2026-05 | high | — |
| 商业模式 | B2B SaaS 按贡献者计价 | 2026-05 | high | — |
| Teams 版定价 | $30/month/contributor(Code 或 SCA,每月每贡献者) | 2026-05 | high | — |
| 总部 | San Francisco, CA | 2026-05 | high | — |
| 成立时间 | 2017 | 2017 | high | — |
| 融资阶段 | D 轮(私营) | 2025-02 | high | — |
估值由融资规模与行业可比公司推断;Semgrep 未公开确认独角兽地位。员工数来自 Tracxn,可能存在滞后。 收入指标对该私营公司不可得。
[CO001, CO023, CO024, CO027, CO029, CO030]Semgrep 开源引擎、商业平台产品、AI 层与客户关系的相互连接方式。
[CO033, CO034, CO035, CO036, CO039]1.2 管理层、董事会与治理
Semgrep 由创始人主导管理层。Isaac Evans 担任首席执行官,负责产品愿景与整体公司战略;Drew Dennison 担任首席 技术官,主导核心工程与技术架构;Luke O'Malley 担任首席产品官,统筹产品管理与用户体验。三位创始人自公司成立起便 分别担任 CEO、CTO 和 CPO,这一分工格局源于他们本科期间在 MIT 合作项目时自然形成的默契。 2025 年 2 月 Series D 完成之际,Semgrep 同步完成两项战略高管招募和一次治理调整。Garrett Souza 以销售副总裁 身份加盟,此前曾担任 Matillion SVP Americas 和 Snyk 企业销售负责人;Palo Alto Networks 前 CEO Mark McLaughlin 以天使投资人兼顾问身份加入,为公司规模化扩张提供运营指导;Menlo Ventures 合伙人 Matt Murphy 则于 Series D 完成后正式出任新董事会成员。 董事会及投资方包括 Menlo Ventures(Series D 领投,拥有董事会席位)、Lightspeed Venture Partners(Series C 领投)、Redpoint Ventures、Sequoia Capital、Felicis Ventures 和 Harpoon Ventures。公司未公开披露上述 投资方以外的正式董事会组成。三位创始人仍是核心运营决策者,在 Evans、Dennison 和 O'Malley 之间形成较为集中的 关键人物风险。Isaac Evans 亲自撰写 Series D 公告和对外沟通材料,进一步强化了其作为公司主要公众发言人的角色。 [CO013, CO014, CO015, CO016, CO017, CO018]
| 人员 | 职位 | 背景 | 创始人-市场契合度 | 关键人物风险 |
|---|---|---|---|---|
| Isaac Evans | 首席执行官兼联合创始人 | MIT EECS '13, SM '15;硕士论文方向为高级软件安全 | 静态分析领域深厚专长;主要公众形象与投资者沟通负责人 | 高——唯一公众发言人;CEO 离职将产生重大影响 |
| Drew Dennison | 首席技术官兼联合创始人 | MIT EECS '13;核心工程背景,擅长 OCaml 与程序分析 | r2c 时期起的 Semgrep 引擎技术架构师 | 高——主导核心技术架构与引擎路线图 |
| Luke O'Malley | 首席产品官兼联合创始人 | MIT EECS '14;自 r2c 时期专注产品管理 | 面向开发者友好安全工具的产品-市场契合度 | 中——对产品方向至关重要,但职位可替代性高于 CTO/CEO |
| Garrett Souza | 销售副总裁 | 前 Matillion 美洲区高级副总裁;Snyk 企业销售负责人 | 曾在高增速同类公司积累企业安全销售经验 | 中——新员工(2025 年 2 月入职),仍在建立销售管道 |
| Mark McLaughlin | 天使投资人兼顾问 | 前 Palo Alto Networks CEO;资深企业安全高管 | 为扩大企业安全 GTM 提供战略指导 | 低——顾问角色,不参与日常运营 |
| Matt Murphy | 董事会成员(Menlo Ventures) | Menlo Ventures 合伙人;主导 D 轮投资 | 投资组合涵盖其他云原生安全公司 | 低——投资方治理角色 |
来源:公司 About 页面、Menlo Ventures 投资组合页面、PR Newswire D 轮公告、D 轮博客文章。 除投资方代表外的董事会构成未公开披露。
[CO013, CO014, CO015, CO016, CO017, CO018]| 利益相关方 | 角色 / 轮次 | 经济 / 控制重要性 | 尽调待确认事项 |
|---|---|---|---|
| Menlo Ventures (Matt Murphy) | D 轮领投方;董事会成员 | 单轮最大支票($100M 领投);董事会治理权 | 确认董事会构成及保护性条款 |
| Lightspeed Venture Partners | C 轮领投($53M);持续投资方 | 累计金额第二大支票;C 轮领投,大概率拥有董事席位 | 确认跟投权与反稀释条款 |
| Sequoia Capital | 持续投资方(A 轮至 D 轮) | 早期机构支持方;持有较大股权 | 厘清持股比例及老股交易历史 |
| Redpoint Ventures | 持续投资方(B 轮至 D 轮) | 中期投资方;持续参与至 D 轮 | 确认治理权及联合投资协议 |
| Felicis Ventures | 持续投资方(B 轮至 D 轮) | A 轮后参与所有融资轮次;分散化组合投资方 | 核实经济权益与控制权 |
| Harpoon Ventures | 持续投资方(D 轮) | 专注网络安全的基金;行业专长带来战略价值 | 确认董事会观察员权或信息权 |
| Isaac Evans、Drew Dennison、Luke O'Malley(三位联合创始人) | 联合创始人及员工 | 可能是最大投票集团;创始人股权与归属计划至关重要 | 索取股权结构表及创始人归属细节;确认反稀释条款 |
投资方名单已由 PR Newswire D 轮新闻稿及 Semgrep 官方博客确认。具体持股比例、除投资方代表外的董事会构成 及老股交易均未公开披露。
[CO023, CO024, CO025, CO026, CO027, CO028]1.3 融资历史与资本结构
Semgrep 自 2020 年 10 月首次机构融资以来,已完成四轮融资,累计筹资 $204M。融资轨迹折射出公司在约五年内从种子期 基础设施迅速扩张至成熟企业级 AppSec 平台的历程。最近一轮为 2025 年 2 月 5 日宣布的 $100M Series D,由 Menlo Ventures 领投,全体现有投资方(Felicis Ventures、Harpoon Ventures、Lightspeed Venture Partners、 Redpoint Ventures、Sequoia Capital)均参与跟投。 Series D 之前,Semgrep 于 2023 年 4 月完成由 Lightspeed Venture Partners 领投的 $53M Series C;Series B 于 2021 年 7 月关闭,Series A 于 2020 年 10 月关闭。公司目前为私人控股,未公开披露营收指标、利润率或年经常性 收入(ARR)。Tracxn 数据显示截至 2026 年 3 月员工数为 257 人。Series D 估值尚未正式披露;当时报道结合轮次规模、 行业可比公司和投资方阵容,将 Semgrep 置于独角兽区间,但官方数字未见发布。本轮资金将用于 AI 及程序分析人才招募、 产品认知度提升,以及包括欧洲和亚太地区在内的市场拓展。 投资方均为美国机构风险投资机构,未见战略投资者或企业投资者。战略投资者的缺席使 Semgrep 得以保持独立性——其 服务的多家企业客户本身可能也是潜在战略投资方的技术合作伙伴或竞争对手。Semgrep 的信息披露状态为私人非披露: 截至 2026 年 5 月,财务报表、ARR 或营收增长指标均不公开。 [CO023, CO024, CO025, CO026, CO027, CO028]
截至 2026 年 5 月的 Semgrep 运营与财务 KPI。
员工数据来自 Tracxn 估算(2026 年 3 月)。估值未披露。收入指标不可用。
[CO023, CO024, CO030, CO031, CO034, CO035]1.4 产品平台与规模
Semgrep 商业版 AppSec Platform 由四款互联产品组成,均构建于开源 Semgrep 引擎之上。Semgrep Code(SAST)提供 跨文件、跨函数的污点分析静态应用安全测试,支持 30+ 种语言。Semgrep Supply Chain(SCA)执行具备可达性感知的 软件成分分析,只暴露实际被调用代码路径中的漏洞,而非包含所有导入包中每一条 CVE。Semgrep Secrets 结合语义分析 与熵分析检测硬编码凭证,并实时验证其有效性。Semgrep Assistant 是 AI 层:自动分类漏洞、在首日抑制约 20% 的 SAST 误报(随代码库学习可提升至约 40%),生成修复指引,并可直接开启附带代码修复建议的 pull request。 开源版 Semgrep Community Edition(CE)是商业平台的基础,个人及非商业用途在 LGPL-2.1 下免费使用。截至 2026 年 5 月,GitHub 仓库已累计获得 14,300+ Star,被数十万开发者使用,其中包括 GitLab、Dropbox、Slack、Figma、 Shopify、HashiCorp 和 Snowflake 的安全工程师。平台每年驱动 75M+ 次代码扫描,覆盖 40+ 种语言,支持 3,000+ 条 社区贡献规则。商业平台以 SaaS 形式销售:SAST 或 SCA(Teams 层)定价 $30/month/contributor,Secrets 定价 $15/month/contributor,大型企业和本地部署提供自定义 Enterprise 定价。 2025 年发布的 MCP server 允许 AI 编程助手(Cursor、VS Code、Claude Desktop)在 AI 辅助开发过程中实时调用 Semgrep 扫描,直接应对 LLM 生成代码带来的"氛围编程"安全漏洞风险。Semgrep 的 Managed Scanning 功能代替客户 处理 CI/CD 配置,将从接入到首次发现漏洞的时间从数周压缩至数小时。 [CO033, CO034, CO035, CO036, CO037, CO038]
1.5 关键里程碑与重大不利事件
Semgrep 从一个休眠的开源项目成长为累计融资 $204M 的企业平台,历经约九年。公司里程碑轨迹可划分为三个阶段: 开源社区建设(2017—2020)、企业产品扩张与融资提速(2021—2023)、AI 增强平台规模化(2024—2026)。 Semgrep 历史上最重大的不利事件是 2024 年 12 月的开源许可证收紧。Semgrep 将 OSS 项目更名为"Semgrep Community Edition",引入专有的"Semgrep Rules License"限制规则的商业使用,并将指纹识别、追踪忽略、特定元变量等功能从 Community Edition 迁移至商业平台。此举在安全和开发者社区引发强烈反弹。2025 年 1 月 23 日,由 Aikido Security、 Endor Labs、Amplify Security、Jit、Orca Security 和 Mobb 等 10+ 家应用安全公司组成的联盟发布了 Opengrep—— 最后一个全功能 CE 代码库的分支,在 LGPL-2.1 下恢复了被锁定的功能。批评者将这次许可证变更称为"rug pull",认为 其背离了在 Semgrep 生态中持续投入的贡献者。Semgrep 则将此次变更定性为防止竞争对手将其规则商业化的必要举措, 并强调底层引擎依然保持 LGPL-2.1 授权。截至 2026 年初,Opengrep 已积累 2,100+ GitHub Star,并拥有专职全职 OCaml 开发团队。 尽管争议不断,Semgrep 仍在 Opengrep 分叉发布仅两周后宣布完成 $100M Series D,显示投资方信心依然稳固。 公司随即引入来自 Palo Alto Networks、Snyk 和 Matillion 的资深人才,并明确提出迈向自主 AppSec 工程的发展 路线图。 [CO042, CO043, CO044, CO045, CO046, CO047]
| 日期 | 事件 | 类型 | 金额 / 状态 | 主要参与方 | 意义 |
|---|---|---|---|---|---|
| 2011 | MIT 学生参与美国陆军 Android 安全项目合作 | founding | — | Evans、Dennison、O'Malley(三位联合创始人) | 联合创始人团队起源;确立职能分工(CEO/CTO/CPO) |
| 2016 | 创始人开始探索软件安全机会 | founding | — | Evans、Dennison、O'Malley(三位联合创始人) | 公司成立前探索阶段;论文研究奠定产品方向 |
| 2017-05-15 | Semgrep, Inc. 正式注册成立(原名 r2c) | founding | — | Evans、Dennison、O'Malley(三位联合创始人) | 公司正式成立;原品牌名为 r2c(Return to Corporation) |
| 2019 | 内部黑客松重启 sgrep 开源项目 | product | — | r2c 工程团队;Yoann Padioleau | 转向静态分析引擎;sgrep 被 fork 并扩展为 Semgrep |
| 2020-10-29 | A 轮融资完成 | financing | 未披露 | Sequoia Capital(领投,推断);早期投资方 | 首笔机构资本推动团队扩张与产品研发 |
| 2020 | 开源项目更名为 Semgrep;商业平台正式上线 | product | — | r2c / Semgrep 团队 | 开源与商业产品品牌对齐;社区建设启动 |
| 2021-07-07 | B 轮融资完成 | financing | 未披露 | Felicis Ventures(领投)、Redpoint、Sequoia | 扩张资本用于 SAST 平台搭建 |
| 2022 | MIT News 报道 r2c/Semgrep;客户涵盖 Slack、Dropbox、Snowflake | scale | — | MIT, Semgrep | 开发者优先采用模式获验证;企业版本逐渐成型 |
| 2023-04-18 | C 轮:Lightspeed Venture Partners 领投 $53M | financing | $53M | Lightspeed(领投)、Felicis、Redpoint、Sequoia | 资本用于跨文件分析、Supply Chain、Secrets 产品扩展 |
| 2024-12 | 许可证变更:Semgrep OSS 更名为 CE;规则受限;功能移至付费墙 | adverse | — | Semgrep Inc. | 社区强烈反弹;触发 Opengrep fork;损害开源品牌声誉 |
| 2025-01-23 | 10+ 家 AppSec 公司联合发起 Opengrep fork | adverse | — | Aikido、Endor Labs、Amplify、Jit、Orca 等 | 开源 SAST 市场竞争碎片化;Semgrep CE 失去社区心智份额 |
| 2025-02-05 | D 轮:Menlo Ventures 领投 $100M;累计融资 $204M | financing | $100M | Menlo(领投)、Felicis、Harpoon、Lightspeed、Redpoint、Sequoia | 暗示独角兽量级估值;资金用于 AI 人才、GTM 扩张及地理拓展 |
| 2025-02-05 | Garrett Souza(销售副总裁)与 Mark McLaughlin(顾问)宣布加入 | governance | — | Souza(曾任 Snyk / Matillion)、McLaughlin(曾任 Palo Alto Networks) | 企业 GTM 能力增强;前 Palo Alto Networks CEO 带来规模化背书 |
| 2025 | Semgrep Assistant 以 AI AppSec 工程师身份发布;研究员认可率 96% | product | — | Semgrep 工程团队 | 产品大幅延伸至 AI 自主安全领域;形成竞争差异化 |
| 2025 | MCP 服务器发布;集成 Cursor、VS Code、Claude Desktop | product | — | Semgrep 工程团队 | 将 Semgrep 嵌入 AI 原生编码工作流;应对 vibe coding 安全风险 |
| 2026 | Semgrep Community Edition 2025 年秋季版本发布:扫描性能提升 3 倍 | product | — | Semgrep 工程团队 | 持续投入开源,表明尽管许可证争议犹在,对社区的承诺不变 |
融资日期来自 Tracxn 和 Sacra。A 轮和 B 轮金额未公开披露。C 轮和 D 轮金额已由 PR Newswire 和 Semgrep 博客确认。Opengrep fork 日期来自 Socket.dev 和 Amplify Security 博客。
[CO001, CO003, CO007, CO008, CO009, CO023]Semgrep 从创立至 2026 年 5 月的关键融资、产品与重大事件。
[CO001, CO007, CO008, CO023, CO024, CO027]1.6 重要展示
02市场分析
2.1 市场边界与定义
Semgrep 所在的市场是应用安全测试(AST)市场,具体聚焦于开发者优先的 SAST、SCA 和密钥检测细分领域。AST 市场 广义上包含静态分析(SAST)、动态分析(DAST)、交互式分析(IAST)、运行时保护(RASP)和软件成分分析(SCA) 工具。Semgrep 的可寻址市场不含 DAST、IAST 和 RASP(目前均不参与竞争),也不含渗透测试服务、红队咨询和 基础设施安全工具。 市场边界的界定至关重要:分析机构的估算从 $1.83 billion(MarketsandMarkets,2025 年,窄口径 AST 工具范围) 跨越至 $11+ billion(Mordor Intelligence,2026 年,宽口径 DevSecOps 平台范围)。两个极端均无法精准反映 Semgrep 的可寻址细分市场;面向开发者的 SAST/SCA/Secrets 可服务市场(SAM)估计约为 $2—3 billion。现状替代 方案——人工代码审查、临时 linting 和无工具方式——是 Semgrep 需要替换的最大单一竞争对手,赢得这类场景的关键 在于证明速度快、误报率低、集成摩擦小。 [CM034, CM039]
| 类别 / 细分市场 | 纳入支出 | 排除支出 | 主要买方 / 付款方 | 与 Semgrep 的关联 |
|---|---|---|---|---|
| SAST(静态应用安全测试) | 源代码扫描工具、规则引擎、CI/CD 集成、IDE 插件 | 运行时保护(RASP)、渗透测试服务 | 安全工程师、DevSecOps 团队、CISO | 核心产品:Semgrep Code 直接参与此市场竞争 |
| SCA(软件成分分析) | 开源依赖扫描、许可证合规、SBOM 生成 | 容器扫描、IaC 扫描、运行时 SCA | 开发者、安全工程师、合规官 | 核心产品:Semgrep Supply Chain 参与此市场竞争 |
| 密钥检测 | 硬编码凭据扫描、API 密钥检测、修复工作流 | Vault 管理、运行时密钥注入、PAM 平台 | DevSecOps 团队、开发者、CISO | 核心产品:Semgrep Secrets 参与此市场竞争 |
| AI AppSec 自动化 | AI 分诊、自动修复、开发者安全 copilot | 完全自主测试智能体、红队 AI、漏洞赏金平台 | 安全工程师、开发者、AppSec 项目负责人 | Semgrep Assistant;新兴高增速细分市场 |
| 现状替代方案 | 内部人工代码审查、临时 linting、无工具方案 | 非货币支出类别 | 工程经理、开发者、安全薄弱型组织 | Semgrep 须替代这一默认选项;开发者体验是关键差异化因素 |
市场边界参考 MarketsandMarkets AST 报告、Endor Labs 买方指南及 Latio 2026 AppSec 报告。邻近市场(DAST、 IAST、RASP、渗透测试服务)不纳入 Semgrep 的主要可服务市场。
[CM034, CM039]2.2 市场规模:TAM、SAM 与 SOM
Semgrep 生态的总可用市场(TAM)以全球 DevSecOps 平台市场为锚点:Mordor Intelligence 预测 2026 年市场规模 达 $10.88 billion(年复合增长率 22.1%,至 2031 年),Coherent Market Insights 和 Fortune Business Insights 的数据为 $11.07—11.49 billion。上述数字采用最宽泛的定义,囊括 DevSecOps 编排、CI/CD 安全自动化和合规管理, 以及 SAST/SCA 工具。更窄口径的 AST 工具市场——MarketsandMarkets 的口径最直接对应 Semgrep 的产品覆盖——2025 年为 $1.83 billion(年复合增长率 26.7%,至 2031 年),对应 2026 年约为 $2.3 billion。 SCA 独立市场(Grand View Research)自 2023 年的 $266.2 million 出发,以 19.87% 的年复合增长率增长,预计 到 2030 年达到 $880.6 million。上述数据自洽——Semgrep Supply Chain 正在这一细分领域竞争。各分析机构数据 差异悬殊(比率从 2:1 到 6:1 不等),主要原因是口径定义不同,而非方法论错误。 Semgrep 的可服务市场(SAM)——面向 CI/CD 集成团队的开发者侧 SAST/SCA/Secrets——2026 年估计约为 $2—3 billion。 自下而上验证:GitHub 报告全球开发者超过 1 亿;若其中 10% 所在组织拥有正式的 AppSec 项目,且每人按 $30/月 全量转化,理论上的可获取市场(SOM)上限每年超过 $3.6 billion。实际渗透率远低于此。若假设当前增长轨迹下 3—5 年内占据 SAM 的 6% 份额,Semgrep 现实可获取市场估算约为 $150—300 million。 [CM001, CM002, CM003, CM004, CM005, CM006]
| 发布方 | 年份 | 范围 / 地域 | 2026 年数值 | 复合年增长率(CAGR) | 方法论 | 置信度 | 主要局限性 |
|---|---|---|---|---|---|---|---|
| MarketsandMarkets | 2025 年报告 | 全球 AST(SAST、DAST、IAST、RASP、SCA) | $1.83B (2025) → $7.60B (2031) | 26.7% (2025–2031) | 主要访谈 + 二手研究 | medium | 定义较窄;仅涵盖工具许可收入;不含托管服务 |
| Business Research Insights | 2026 年报告 | 仅限全球 AST 工具 | $6.39B (2026) → $23.97B (2035) | 15.7% (2026–2035) | 二手研究 + 专家访谈 | low-medium | 定义较宽,可能涵盖邻近安全工具;方法论不透明 |
| Mordor Intelligence | 2026 年报告 | 全球 DevSecOps(平台 + 服务) | $10.88B (2026) → $29.52B (2031) | 22.1% (2026–2031) | 专有估算框架 | medium | 范围过宽,高估了纯 SAST/SCA 市场;包含非扫描工具 |
| Coherent Market Insights(市场研究机构) | 2026 年预测 | 全球 DevSecOps | $11.07B (2026) → $26.05B (2033) | 13.0% (2026–2033) | 二手研究 + 市场建模 | medium | CAGR 偏保守,与同类报告相比;类似范围过宽问题 |
| Fortune Business Insights | 2026 年报告 | 全球 DevSecOps | $11.49B (2026) → $31.96B (2034) | 13.65% (2026–2034) | 主要问卷调查 + 二手来源 | 中 | 8年预测跨度过长,不确定性高 |
| Grand View Research(仅 SCA) | 2024年报告 | 全球独立 SCA | $266.2M (2023) → $880.6M (2030) | 19.87% (2024–2030) | 二手研究 + 一手研究 | 高 | 独立 SCA 低估平台综合营收;未涵盖 SAST |
| 自下而上 SAM(作者估算) | 2026年估算 | 面向开发者的 SAST/SCA/Secrets,全球范围 | ~$2-3B (estimated) | ~20-25% | GitHub 开发者数量 × 企业附加率 × Semgrep ARPU | 低 | 属推测性估算;无独立分析师发布此数据;系作者自行推导 |
AST 工具窄口径定义(约 $1.83B,2025年)与 DevSecOps 平台宽口径定义(约 $10-11B,2026年)之间存在显著差距,根源在于统计口径不同。自下而上 SAM 估算以 Semgrep 定价($30/贡献者/月)乘以 GitHub 开发者总量,再乘以企业转化率假设;尚无独立验证数据支撑。
[CM001, CM002, CM003, CM004, CM005, CM006]SAM 与 SOM 均为作者推算,非分析师发布数据。SAM 将开发者团队预算占比(约 40%)应用于 MarketsandMarkets 2025 年 AST 基准,按 26.7% CAGR 推算至 2026 年。SOM 假设 Semgrep 在当前增长轨道下占 SAM 的 6%。尚无独立分析师发布上述细分市场估算。
2.3 买家细分与采用路径
AppSec 买家市场按组织规模、预算归属和工作流切入点细分。大型企业(1,000+ 员工)中,CISO 或 AppSec 项目负责人 掌握最终预算审批权;采购通常由监管合规要求、安全事故经历或董事会层面的安全项目建设驱动。该细分市场按组织规模 口径占 AST 市场收入的 64%(Business Research Insights)。安全工程师是主要用户,采购流程涉及正式 RFP、安全 问卷和 90—180 天的采购周期。 中型市场和 SMB 细分中,工程副总裁或 CTO 主导采购,CISO 的介入有限。Semgrep 的产品驱动增长(PLG)模式在 这里尤为有效:开发者自发采用 Community Edition,在 CI 中验证价值后以 $30/contributor/月转化至 Teams。 免费到付费的触发点是规模(代码库超过 10 个)或安全项目正式化。 政府和受监管行业(BFSI、医疗)呈现不同规律:合规官员和正式采购流程主导,周期更长,FedRAMP/HIPAA 合规要求 形成可预期的需求。北美占全球 AST 市场 35—42%(Mordor、MarketsandMarkets、BRI 口径一致),是 Semgrep 的 最优先市场。亚太地区是增速最快的地区(年复合增长率 22—25%),但销售周期更长,监管框架各异。 [CM010, CM011, CM012, CM013, CM035, CM036]
| 细分市场 | 买家 | 用户 | 付款方 | 预算负责人 | 工作流切入点 | 采用触发因素 |
|---|---|---|---|---|---|---|
| 大型企业(>1,000人) | CISO / AppSec 项目负责人 | 开发者、安全工程师 | IT/安全预算 | CISO 或工程副总裁 | 平台评估、RFP、安全问卷 | 合规强制要求、数据泄露事件、董事会级安全项目 |
| 中端市场(100–1,000人) | 工程副总裁或安全总监 | 开发者、DevSecOps 团队 | 工程或 IT 预算 | 工程副总裁或 CTO | 自下而上开发者采用,再推动合同扩张 | 开发者发现 Semgrep OSS → 扩展至 CI;或触发安全事件 |
| 中小企业/初创公司(<100人) | CTO 或工程负责人 | 开发者(全能型) | 工程预算 | CTO / 创始人 | 自助免费版 → Teams 版,$30/贡献者/月 | 需要 CI/CD 安全检查,但无专职安全团队 |
| 政府/受监管行业(金融、医疗) | CISO / 合规官 | 安全工程师、开发者 | 合规预算 | CISO / 首席风险官 | 采购流程 / 安全问卷 | 监管审计、HIPAA/FedRAMP/DORA/EU CRA 合规 |
| 开源 / 社区开发者 | 个人开发者或 OSS 维护者 | 开发者(本人) | 免费(社区版) | 不适用——无预算 | 直接下载 OSS、GitHub 仓库 | 为个人或开源项目寻求免费安全扫描 |
买家图谱数据来源:Endor Labs 买家指南、Veracode/Gartner AppSec 战略2026,以及 G2 上的 Semgrep 用户评价。 Semgrep 的 PLG 模式通过社区版覆盖第2至第5层级,并借助直销向企业层级(第1层)拓展。
[CM010, CM011, CM012, CM013]漏斗规模估算由作者基于 7500 万+ 年扫描量、14,300+ GitHub Stars、257 名员工及 Semgrep 定价数据推断,无独立审计数据支撑各层级用户数量。
2.4 增长驱动因素
四大结构性顺风因素推动 AppSec 市场增长至 2028 年,Semgrep 直接受益。 第一,AI 生成代码正在制造新的漏洞攻击面。Mordor Intelligence 将此因素归因为 DevSecOps 年复合增长率额外 贡献 +2.9 个百分点。Gartner(经 Veracode 引用)报告称 65% 的工程负责人表示团队已在使用 AI 工具;GitHub Octoverse 2024 显示 2024 年生成式 AI 项目贡献增长 59%,GitHub 上 AI 项目数量增长 98%;Sonatype 2026 年 报告确认 AI 辅助开发正在加速依赖变更频率,并引入错误包选择。Semgrep 的 MCP server、AI 原生规则和"氛围编程" 安全定位直接回应这一需求。 第二,监管顺风结构性存在:欧盟《网络弹性法案》(Cyber Resilience Act)要求 2026 年 9 月前在 24 小时内 报告漏洞,2027 年 12 月前全面执行,违规罚款最高可达 €15 million 或全球营业额的 2.5%。Futurum Group 2025 年下半年调查(n=1,008)显示 73.2% 的组织预期网络安全预算增加。 第三,软件供应链攻击持续加速:Sonatype 2024 年发现 512,000+ 个恶意包;97% 的代码库包含开源组件(Black Duck OSSRA 2025)。SBOM 强制要求正将供应链风险转化为 Semgrep Supply Chain 的合规采购驱动力。 第四,"左移"(shift-left)已成主流:56% 的开发者表示所在组织已采用 DevSecOps 平台(GitLab 2024); 72% 的 500+ 员工企业已将 SAST 集成到 CI/CD 流水线(Grand View Research 2024)。 [CM014, CM015, CM016, CM017, CM019, CM020]
| 驱动/制约因素 | 方向 | 时间维度 | 对 Semgrep 的影响 | 尽调问题 |
|---|---|---|---|---|
| AI 生成代码扩大攻击面 | 顺风 | 短期(当前至2027年) | 新一类漏洞涌现;Semgrep MCP 与 AI 原生规则直接应对 | 量化 AI 生成代码在扫描中的占比;确认 AI 专项规则覆盖情况 |
| 欧盟《网络弹性法案》(2026年9月起强制执行) | 顺风 | 中期(2026–2027年) | 欧盟市场打开;SBOM 与漏洞披露要求直接拉动供应链安全需求 | 确认 Semgrep 的 SBOM 导出功能及 CRA 合规报告能力 |
| 美国 EO 14028 / NIST SSDF / FedRAMP 要求 | 顺风 | 短至中期 | 扩大联邦市场 TAM;Semgrep 已在部分政府流水线中落地 | 向管理层询问公共部门及联邦合同占 ARR 的比例 |
| 左移/DevSecOps 平台普及 | 顺风 | 持续进行 | 开发者优先定位直接受益;56% 的开发者表示所在组织已采用 DevSecOps 平台 | 追踪 SAST 在 CI 中的渗透率;验证 DevSecOps 强制要求带来的净扩张 |
| 软件供应链攻击与 SBOM 强制要求 | 顺风 | 短至中期 | Sonatype 2026:针对 OSS 的恶意软件攻击已升级为国家级行为;供应链安全产品直接应对此威胁 | 确认供应链安全营收占 ARR 比例;验证供应链恶意软件检测能力 |
| 工具疲劳与平台整合趋势 | 逆风/机遇 | 短期 | 买家正从7款以上工具向统一平台收拢;Semgrep 三产品组合有所助益,但面临 Checkmarx/Snyk/Wiz 竞争 | 询问每笔交易平均替换工具数;索取对比平台类厂商的赢/输案例 |
| 误报问题(误报率30–70%) | 逆风/机遇 | 持续进行 | 若 Semgrep AI 分流能降低误报,则成为核心差异化优势;若噪音持续,则面临留存风险 | 向 Assistant 索取误报率降低数据;通过客户参考案例验证 |
| 网络安全人才短缺(全球缺口480万) | 双重影响 | 持续进行 | 中小企业依赖自动化平台;但若团队人手紧张,可能推迟采购决策 | 询问自助部署与企业协助部署的比例;验证价值实现时间 |
| Opengrep 分叉与 OSS 许可证争议 | 逆风 | 短期 | CE 许可证限制或收窄 OSS 采用漏斗;Opengrep 提供免费 SAST 替代选择 | 追踪 Opengrep star 数与 Semgrep CE 对比;向管理层询问分叉后 CE 转付费转化率 |
时间维度:短期 = 当前至2年;中期 = 2–4年。方向从 Semgrep 视角定义:顺风 = 加速需求;逆风 = 产生摩擦;双重影响 = 取决于执行。 数据来源:Mordor Intelligence、AppSec Santa、Futurum Group、Endor Labs、Sonatype 2026。
[CM014, CM015, CM016, CM017, CM018, CM019]2.5 采用约束与风险
五大实质性制约因素限制 AppSec 采用速度,并对 Semgrep 产生直接影响。 工具疲劳和误报是最突出的问题。多项行业研究显示传统 SAST 误报率在 30—70% 之间。Cypress Data Defense 2025 年调查中,62% 的受访者承认曾为赶工期而发布含漏洞的代码。Latio 2026 年报告将 AppSec 描述为"一个正在经历 危机的学科"。后果是告警疲劳:58% 的 AppSec 从业者频繁遭遇误报。 人才短缺进一步加剧:全球网络安全人才缺口达 480 万(ISC2 2024)。仅 30% 的组织认为自身已达到成熟的 DevSecOps 水平(Checkmarx 2025)。这既带来机遇(自动化替代人力),也带来采用风险(资源不足的团队推迟购买)。 市场集中度风险现实存在:43% 的组织处于最低 AppSec 成熟度水平(Gartner)。这一细分市场只能通过免费层触达, 而 Opengrep 分支提供免费替代方案,转化更加困难。 现有巨头的平台整合正在提速:管理 7 个以上安全工具的企业(Endor Labs)正向覆盖范围更广的代码到云安全平台 收拢。Checkmarx、Snyk、GitHub Advanced Security 和 Wiz 正在构建与 Semgrep 重叠的能力。Latio 2026 指出 独立 ASPM 作为类别已悄然消亡。 [CM023, CM024, CM025, CM026, CM027, CM028]
2.6 重要展示
03竞争格局
3.1 竞争格局概览
应用安全测试竞争格局有五类与 Semgrep 直接相关:(1)争夺相同买家和用户的开发者优先 SAST/SCA 同类产品; (2)具备安全功能的代码质量老牌厂商;(3)企业级 SAST/SCA 平台领导者;(4)作为 Semgrep 开源社区漏斗 免费替代品的 Opengrep 分支;(5)延伸至代码扫描的云安全平台。 按营收或企业安装量,Semgrep 并非最大 SAST 厂商。开发者优先安全公司中营收最高的是 Snyk(2025 年营收 $407M,估值 $7.4—8.5B,约 1,278 名员工),提供可比的 SAST(Snyk Code)、SCA(Snyk Open Source)、 Container 和 IaC 扫描。GitHub Advanced Security(GHAS)天然嵌入 GitHub 1 亿+ 开发者生态,定价 $30/committer/月——与 Semgrep Code 完全相同,具有结构性分销优势。SonarQube 按开发者数量计拥有最大 SAST 装机量(7M+ 开发者,15% SAST 市场份额),但主要聚焦于代码质量和技术债务,而非安全优先分析。Checkmarx One (ARR $150M+,860+ 家企业客户)领跑企业级 SAST/SCA 细分市场。 Opengrep 分支由 10 家公司联盟于 2025 年 1 月 23 日发布,在 LGPL-2.1 下恢复了 CE 等效功能并免费提供,直接 威胁 Semgrep 的开源到企业采用漏斗。Opengrep 已积累 2,100+ GitHub Star、26 个版本,并声称在部分基准测试中 扫描速度比 Semgrep CE 快 3.15 倍。现状替代品——人工代码审查、通用 linter 和无工具方式——仍是尚未正式化 AppSec 项目的公司最常见的替代选择。 [CP001, CP002, CP003, CP004, CP005, CP006]
| 厂商 | 类别 | 规模/融资 | 目标客群 | 核心差异化 | 相对 Semgrep 的主要劣势 |
|---|---|---|---|---|---|
| Snyk | 开发者优先 SAST/SCA/IaC | 融资$1.32B,估值$7.4-8.5B,约1,278名员工,2025年营收$407M | 中端市场及企业级开发者 | 产品线最广(SAST+SCA+容器+IaC),通过 DeepCode 深度整合 AI | 定价较高,规则自定义灵活性不足,扫描聚焦于单语言 |
| GitHub Advanced Security (GHAS) | GitHub 原生 SAST/Secrets/SCA | GitHub/Microsoft;CodeQL $30/提交者 + Secrets $19/提交者 | 所有 GitHub 用户,尤其是 GitHub Enterprise 组织 | 原生 GitHub 分发、Copilot Autofix、1亿开发者生态 | 仅限 GitHub 部署;支持语言(12种)少于 Semgrep(40+);原生 SCA 深度不足 |
| SonarQube / SonarCloud | 代码质量 + SAST | 非上市(SonarSource);700万以上开发者、50万以上组织,SAST 市场份额约15% | 开发者、CI 质量门禁、技术债管理 | SAST 装机量最大,覆盖代码质量/技术债,按代码行数定价 | 质量优先而非安全优先;安全检出率19%,低于 Semgrep 的46%;SCA 深度不足 |
| Checkmarx One | 企业级 SAST/SCA/DAST/API | ARR $150M+,860家以上企业客户,私募持股(H&F) | 大型企业、合规驱动买家、财富500强 | 覆盖最全(SAST+DAST+SCA+API+ASPM),Gartner 魔力象限领导者,合规文档完备 | 开发者体验差,扫描速度慢,规则管理复杂;企业级溢价定价 |
| Veracode | 企业级 SAST/DAST/SCA | 非上市(TA Associates/FP),3,000家以上企业客户 | 合规导向的企业、金融服务、政府机构 | 审计就绪合规输出、DAST 能力、FedRAMP 授权 | 开发者体验最差,摩擦系数最高,无竞争性 PLG 漏斗 |
| Opengrep | OSS SAST(Semgrep 分叉版) | 开源,联盟支持(Aikido、Endor Labs、Amplify、Jit、Orca、Mobb) | 免费版 AppSec 开发者;寻求无限制社区版的 Semgrep OSS 用户 | 免费、LGPL-2.1、恢复社区版功能、基准测试快3.15倍、开放治理 | 无商业平台(无 SCA、Secrets、AI 分流);无企业支持 |
| Endor Labs | SCA 可达性分析 | 融资$70M(2022年);200家以上企业客户 | 寻求降低 SCA 噪音的企业 DevSecOps 团队 | 可达性感知 SCA(调用图分析)、CI/CD 流水线策略、SBOM 生成 | 仅限 SCA;无 SAST 引擎;相较 Semgrep Supply Chain 产品成熟度较低 |
| Wiz Code / CNAPP | 云安全 + 代码(CNAPP) | 融资$1.9B,估值$12B,ARR $500M+(2025年) | 云原生企业;CISO 主导的安全项目 | 代码到云的全链路视角、从云侧覆盖 IaC 与供应链,借助云安全交易实现大规模分发 | SAST 引擎较轻量;云安全定位导致开发者集成深度不足;非核心 SAST 厂商 |
规模数据来源:Tracxn、Sacra、Latka、BusinessWire 及公开报告。估值数据以最近一轮融资为准,市场情况可能已有变化。 Opengrep 是社区分叉版本,无独立公司主体。
[CP001, CP002, CP003, CP005, CP006, CP008]X 轴为开发者体验(越高越友好);Y 轴为企业能力广度。Semgrep 占据高开发者体验 + 中等企业能力象限。Checkmarx 与 Veracode 企业能力突出,但开发者体验评分较低。
坐标位置为作者基于截至 2026 年 5 月的产品文档、G2 评测、分析师报告及竞品资料进行的定性估算,无量化调研数据支撑精确位置。
3.2 直接开发者优先竞品:Snyk 与 GitHub Advanced Security
在产品、市场和 GTM 模式上,Snyk 是 Semgrep 最直接的竞争对手。Snyk Code(SAST,基于 2020 年 DeepCode AI 收购)、Snyk Open Source(SCA)、Snyk Container 和 Snyk Infrastructure as Code 与 Semgrep 四款商业产品 全面重叠。Snyk 2025 年 $407M 营收和 5,000+ 客户印证了开发者优先 AppSec 领域的企业需求。但 Snyk 2023 年 裁员(削减 12% 员工)和营收增速放缓表明超高增长阶段已告终,公司正在为潜在 IPO 或战略退出优化盈利能力。 Snyk 定价与 Semgrep 重叠(SAST $25—30/developer/月);核心竞争维度是生态广度(Snyk 有 Container/IaC; Semgrep 的 SAST 规则编写更灵活)。 GitHub Advanced Security(GHAS)构成的是分销结构威胁,而非产品技术威胁。GHAS 由 CodeQL(2019 年 GitHub 收购)、Dependabot(SCA)和 Secret Scanning 驱动。2025 年 3 月品牌重组将 GHAS 拆分为两款产品:GitHub Code Security($30/committer/月)和 GitHub Secret Protection($19/committer/月)。GitHub Copilot Autofix 在 pull request 中直接生成可用代码补丁,带来流畅的开发者体验。GHAS 的结构性优势来自 GitHub 1 亿+ 开发者生态: 任何使用 GitHub 的组织,GHAS 已内置于平台,无需额外引入供应商关系。许多安全团队同时运行 GHAS 和 Semgrep—— CodeQL 用于深度夜间语义分析,Semgrep 用于快速 PR 级模式匹配——降低了零和竞争态势。 Semgrep 相对两者的差异化:(1)多 VCS 支持(GitLab、Bitbucket、Azure DevOps),对比 GHAS 仅限 GitHub 部署;(2)支持 40+ 种语言,对比 CodeQL 约 12 种语言;(3)基于 YAML 的自定义规则编写,对比 CodeQL 的类 SQL 查询语言;(4)Secrets/SCA/SAST/AI 一体化平台,对比 GHAS 按模块独立计费。 [CP011, CP012, CP013, CP014, CP015, CP016]
| 能力 | Semgrep | Snyk | GHAS (CodeQL) | SonarQube | Checkmarx One | Opengrep |
|---|---|---|---|---|---|---|
| SAST(静态分析) | 是——Pro 引擎,支持40+语言,跨文件/函数分析 | 是——Snyk Code(DeepCode AI) | 是——CodeQL,约12种语言,深度语义分析 | 是——支持35+语言,兼顾质量与安全 | 是——企业级 SAST 覆盖最深 | 是——等同社区版,LGPL-2.1,支持40+语言 |
| SCA(软件成分分析) | 是——Supply Chain,具备可达性感知 | 是——Snyk Open Source,SCA 数据库最深 | 是——Dependabot(包级别,不含可达性) | 部分——仅限高级版/企业版 | 是——供应链扫描 | 否 |
| 密钥检测 | 是——Semgrep Secrets,实时验证 | 无专属模块 | 是——Secret Scanning,基于模式匹配 | 无专属模块 | 是——部分支持 | 否 |
| DAST(动态分析) | 否 | 否 | 否 | 否 | 是 | 否 |
| AI 分流/自动修复 | 是——Semgrep Assistant,误报率降低约20–40% | 部分——AI 修复建议 | 是——Copilot Autofix(PR 级别补丁) | 无专属 AI 分流 | 部分——AI 代码扫描优化 | 否 |
| 自定义规则编写 | 是——YAML/模式与源码语法对应,易上手 | 不支持自定义 SAST 规则 | 是——CodeQL 查询语言(类 SQL,学习曲线陡峭) | 否(规则集固定) | 有限——通过 Checkmarx 查询语言自定义 | 是——与 Semgrep CE YAML 相同 |
| 多 VCS 支持 | 是——GitHub、GitLab、Bitbucket、Azure DevOps | 是——支持所有主流 VCS | 否——仅限 GitHub | 是——支持多种 VCS | 是——支持多种 VCS | 是——VCS 无关的 CLI |
| IDE 集成 | 是——VS Code、IntelliJ 插件 | 是——广泛的 IDE 支持 | 是——通过 Copilot 集成 GitHub 和 VS Code | 是——VS Code、IntelliJ、Eclipse | 是——主流 IDE | 部分——基于 CLI,无官方 IDE 插件 |
| MCP 服务器/AI 编程集成 | 是——Cursor、VS Code、Claude Desktop | 否 | 部分——GitHub Copilot 原生支持 | 否 | 否 | 否 |
| 开源免费版 | 是——CE(LGPL-2.1,单函数分析) | 是——有限制的免费版 | 是——公开仓库免费 | 是——社区版免费 | 无免费版 | 是——完全开放,LGPL-2.1 |
功能矩阵基于2026年5月的公开文档。部分支持的能力标注为"部分"。DAST 与 IaC 扫描已确认不在 Semgrep 当前产品范围内,故不列入。
[CP013, CP014, CP015, CP016, CP017, CP018]| 厂商 | 免费版 | 付费起步价 | 计费单位 | 包含功能 | 企业版/定制版 | 备注 |
|---|---|---|---|---|---|---|
| Semgrep | CE:最多10个仓库,仅限单函数分析 | $30/月(Code 或 Supply Chain)/ $15/月(Secrets) | 按贡献者 | SAST 或 SCA(Code/SC),Secrets $15;AI 分流在企业版 | 定制:跨产品捆绑、私有化部署、SSO、SLA | Teams 版每产品 $30;企业版捆绑定价;未公开 ACV |
| Snyk | 免费版:每月200次开源测试,基础 SAST | ~$25–30/开发者/月 | 按开发者 | Snyk Code(SAST)或 Snyk Open Source(SCA) | 定制:Snyk Enterprise,批量折扣 | 高级版全套约 $98/开发者/月;定价未公开 |
| GHAS (GitHub Code Security) | 公开仓库免费 | $30/活跃提交者/月 | 按活跃提交者 | CodeQL SAST、仓库规则、推送保护 | 可使用 GitHub Enterprise 捆绑定价 | Secret Protection 单独收费:$19/提交者/月;活跃提交者 = 过去90天内有提交记录 |
| SonarQube Server(自托管) | 社区版免费(语言有限) | $1,500–$26,000/year | 按代码行/版本 | SAST + 质量门禁;SCA 和密钥检测仅限企业版 | 数据中心版:定制(多实例) | 按代码行定价;Developer 版起步约 $1,500/年 |
| SonarCloud(SaaS) | 5万行代码/5用户以内免费 | $32/月(团队版) | 按团队/代码行 | SAST、质量门禁、PR 分析 | 企业版:按代码行定制报价 | 付费版用户数不限;按扫描代码行数定价 |
| Checkmarx One | None | 未公开披露 | 企业合同 | SAST、SCA、DAST、IaC、API 安全、ASPM | 定制企业定价;ACV 通常在 $150K–$1M+ | 仅限企业级;无自助模式;最低交易规模对应500人以上组织 |
| Veracode | None | 未公开披露 | 企业合同 | SAST、SCA、DAST、策略管理、API 测试 | 定制价格;最低承诺金额通常为 $50K+ ACV | 扫描即服务模式;按平台费用加使用量计费;默认不直接面向开发者 |
| Opengrep | 完全免费(LGPL-2.1) | $0 | N/A | 核心 SAST 引擎,功能与 CE 版相当 | 不适用——无商业版本 | 可替代 Semgrep CE 的免费选项;不提供企业级支持 |
定价数据来自公开文档;Checkmarx/Veracode 企业定价源自分析师评述(未公开披露)。Semgrep 定价已于 2026 年 5 月核对 semgrep.dev/pricing。
[CP011, CP012, CP016, CP018, CP025, CP030]3.3 平台老牌厂商:Checkmarx、SonarQube 与 Veracode
Checkmarx One 是企业级 SAST/SCA 市场的主导平台,ARR $150M+(2025 年 10 月),ARR 同比增长 30%+,拥有 860+ 家大型企业客户,并获得 Gartner Magic Quadrant AST 领导者认定。Checkmarx 争夺 ACV 超过 $100K 的企业 大单,这类客户要求 CISO 级别的产品广度(SAST + DAST + SCA + API Security + ASPM)、合规文档和 SOC 2/FedRAMP 认证。Checkmarx 的弱点是开发者体验:扫描时间、规则复杂度和 UX 均以安全团队为中心,而非开发者。Semgrep 在 Checkmarx 客户中的竞争机会,在于在 CISO 选定平台之前率先渗透工程团队。 SonarQube/SonarCloud(SonarSource)按开发者数量计拥有最大 SAST 装机量:7M+ 开发者、500,000+ 组织,约 15% SAST 市场份额。SonarQube 的重心是代码质量和技术债务,安全只是其次;6,500+ 条规则中 85% 面向质量, 15% 面向安全。安全检测效能基准测试显示,Semgrep 在纯安全发现上优于 SonarQube(2026 年独立测试中检测率 46% 对比 19%)。对安全优先的买家而言,SonarQube 的 SAST 竞争威胁有限;但其作为默认 CI 代码质量工具的 主导地位意味着,Semgrep 进入客户之前,它往往已占据"安全工具"预算线。 Veracode(私募股权,TA Associates/Francisco Partners 持有)专注企业合规细分市场,拥有 3,000+ 客户,含 《财富》500 强。Veracode 的优势是合规审计就绪文档和 Semgrep 不具备的 DAST 能力;弱点是开发者体验—— 扫描即服务模式被认为速度迟缓。在开发者主导、中型市场 PLG 场景中,Veracode 并非有力竞争者。 [CP021, CP022, CP023, CP024, CP025, CP026]
3.4 Opengrep 分支与现状替代品
Opengrep 的定位独特:既是竞争威胁,也是 Semgrep 战略失误的佐证。它由 Aikido Security、Endor Labs、 Amplify Security、Jit、Orca Security 和 Mobb 组成的联盟于 2025 年 1 月 23 日发布——恰在 Semgrep Series D 宣布前两周——恢复了 Semgrep 于 2024 年 12 月限制的 CE 功能(跨函数污点分析、指纹识别、追踪忽略、特定元 变量)。Opengrep 由多厂商开放治理联盟负责治理,由专职 OCaml 团队开发,以 LGPL-2.1 授权发布。截至 2026 年初,Opengrep 已积累 2,100+ GitHub Star、26 个版本、61+ 名贡献者,且在特定规则加载场景的基准测试中 扫描速度比 Semgrep CE 快 3.15 倍。 Opengrep 的威胁具体指向 Semgrep 的开源到企业采用漏斗。原本会以 Semgrep CE 作为免费扫描层——最终转化为 Teams/Enterprise 的切入点——的组织,现在可以使用 Opengrep 获得恢复后的功能,且与 Semgrep Inc. 无商业 关系。Semgrep 的 PLG 护城河依赖于 Semgrep CE 作为自然起点;Opengrep 提供了一个真正有竞争力的免费替代品, 持续侵蚀这一优势。 现状替代品仍是最常见的选择:ESLint(JavaScript)、Bandit(Python)、Flawfinder(C/C++)、PMD(Java)、 GoSec(Go)以及其他语言的通用 linter。这些工具按语言分散,缺乏跨语言编排,也没有规则市场——这些正是 Semgrep 弥补的弱点。对 AppSec 成熟度 1 级的组织,人工代码审查、临时脚本和无工具方式是默认选择。 [CP030, CP031, CP032, CP033, CP034, CP035]
3.5 切换成本、锁定效应与护城河持久性
Semgrep 的竞争护城河分为三类:社区与规则网络效应、技术差异化,以及 GTM/分销。 规则网络效应是最持久的护城河:Semgrep 的 3,000+ 条社区规则和 20,000+ 条商业 Pro 规则代表了多年积累的贡献 和机构知识,无法一夜复制。然而,大多数 OSS 规则是可移植到任何兼容规则引擎(包括 Opengrep)的 YAML 模式。 规则护城河最坚固的部分是商业 Pro 规则集——它是专有的,仅授权给付费客户。 技术差异化:Semgrep Pro Engine 在 40+ 种语言中提供 CI 速度级别的跨文件、跨函数污点分析——这一组合竞争对手 尚未复制。CodeQL 提供更深层的语义分析,但速度慢 5—10 倍,适合夜间构建而非每次提交的 PR 检查。Semgrep 的 MCP server 集成使其在 AI 编程助手市场(Cursor、VS Code、Claude Desktop)中占据独特位置。 GTM 与分销:OSS → Teams → Enterprise 的 PLG 路径相比直接企业销售能以更低获客成本(CAC)实现"先占后扩"。 风险在于,GHAS 的 GitHub 原生分销对尚未尝试 Semgrep 的 GitHub 中心化组织而言直接绕过了这一路径。 Semgrep 多 VCS 灵活性是最明确的反击。 切换成本适中:Semgrep CI 集成(GitHub Actions、GitLab CI、Jenkins)是标准 YAML,安装配置仅需 1—2 天。 自定义规则的迁移耗时更长;Pro 规则集不可移植。包含 SSO/SAML、SCIM 配置、策略仪表盘和审计日志的企业平台 协议带来一定粘性。综合来看:Semgrep 有真实但非结构性的锁定效应,免费层和 Teams 层的流失风险高于 Enterprise。 [CP037, CP038, CP039, CP040, CP041, CP042]
| 护城河主张 | 威胁 | 威胁严重程度 | 时间跨度 | 应对措施 / 尽调要求 |
|---|---|---|---|---|
| 规则网络效应:3,000+ 条社区规则 + 20,000+ 条 Pro 规则 | Opengrep 正在吸引社区规则贡献;开源规则以可移植的 YAML 格式存在 | 中等 | 1-3 years | 追踪 fork 后社区规则贡献增速;衡量企业续约中 Pro 规则的采用情况 |
| 开发者优先的 PLG 增长路径(从开源版到 Teams 版再到企业版) | GHAS 依托 GitHub 原生分发,使 GitHub 优先型企业绕过开源渠道;Opengrep 为 CE 级用户提供免费替代方案 | 高 | 1-2 years | 监测 Opengrep 发布前后 CE 到付费版的转化率;衡量开发者 NPS |
| 支持 40+ 种语言的多语言覆盖与 Pro Engine 污点分析 | 竞争对手持续扩充语言支持;CodeQL 深化语言覆盖;Opengrep 已匹配 CE 版的语言支持范围 | 中低 | 2-4 years | 核实 Pro Engine 语言路线图;通过直接对比基准测试确认污点分析深度与 CodeQL 的差距 |
| MCP 服务器及面向氛围编程的 AI 原生定位 | GitHub Copilot Autofix 和 Snyk IDE 集成瞄准相同的开发者使用场景;该能力并无专有壁垒 | 中等 | 1-2 years | 获取 MCP 使用数据;确认 AI 扫描采用率及开发者对质量的反馈 |
| 多 VCS 支持与平台无关的 CI/CD 集成 | GitLab Ultimate SAST 和 Bitbucket Code Insights 正在增加原生扫描功能;GHAS 的优势仅限于 GitHub,并不覆盖多 VCS 场景 | 低 | 2-4 years | 要求按 VCS 平台拆分客户分布;验证 GitLab 场景下的赢单/输单率 |
| Semgrep Assistant AI 分类(首日误报率降低 20-40%) | Snyk、Checkmarx 和 CodeQL 均在投入 AI 分类能力;除非代码库学习能基于私有代码历史实现个性化,否则难以形成持久护城河 | 中等 | 1-3 years | 获取分客户队列的误报率降低数据;验证代码库学习随时间推移的改善效果 |
| 商业 Pro 规则集(20,000+ 条自研规则) | 规则是订阅权益而非网络效应;若竞争对手为其所用语言提供同等规则覆盖,客户可能随时切换 | 中等 | 1-3 years | 要求提供按语言拆分的 Pro 规则覆盖情况;验证客户对规则质量的满意度评分 |
威胁严重程度:Low = 在预期时间跨度内发生概率低;Moderate = 可能发生但可管控;High = 已存在主动竞争压力。 时间跨度:近期 = 1-2 年,中期 = 2-4 年。资料来源:Endor Labs 竞争分析、AppSec Santa、Latio 2026、Opengrep GitHub。
[CP037, CP038, CP039, CP040, CP041, CP042]14.7 倍 Opengrep 比率为作者计算所得:截至 2026 年 5 月,Semgrep CE 拥有 14,300 个 star,Opengrep 拥有 2,100 个 star。年度扫描量 来源于 Semgrep 公司声明。Snyk 营收来源于 Latka。
3.6 重要展示
04财务情况
4.1 收入模式与收入来源
Semgrep 的收入模式是构建于开源 Community Edition(CE)之上的产品驱动增长(PLG)SaaS 结构,分三级变现。 PLG 模式以零边际成本生成开发者获取漏斗——开发者发现并采用 Semgrep CE,在 CI 中验证安全价值,随着使用规模 扩大或安全项目正式化,升级至 Teams 或 Enterprise。 收入来源 1——Teams 层(Code 或 Supply Chain $30/contributor/月;Secrets $15/contributor/月):这是主要的 自助服务收入来源。触发点是规模(代码库超过 10 个或贡献者超过 10 人,超出免费层限制)或对 Pro 规则和 AI 分类的需求。Teams 层按活跃贡献者计费,Semgrep 通过其 CI 集成控制并审计这一指标。 收入来源 2——Enterprise 合同(自定义定价):企业营收通过直接谈判获取,通常对接 500+ 员工组织中的 CISO 或 工程副总裁预算负责人。Enterprise 合同包含 SSO/SAML、SCIM 配置、Managed Scanning、SLA 保证、审计日志、 本地部署选项以及完整 Pro 规则集(20,000+ 条规则)访问权。ACV 预计在 $50K 至 $500K+ 区间。 收入来源 3——专业服务与实施(规模较小):Semgrep 为 Managed Scanning 提供实施服务。这不是主要收入来源, 预计占总收入的 <5%。 收入确认:年度或多年预付订阅合同(典型 SaaS 模式)。无按扫描计价、消耗量计量或交易计费的证据。收入在 合同期内均匀确认;年度预付款产生正向营运资金动态。 [CI001, CI002, CI003, CI004, CI005, CI006]
| 收入来源 | 收费机制 | 计价单位 | 当前规模 / 状态 | 收入质量 | 尽调要求 |
|---|---|---|---|---|---|
| Teams 版 — Semgrep Code(SAST) | 自助每月订阅 | $30/contributor/month(每贡献者每月) | 主要自助收入来源;未披露客户数量 | 高——可预期的按比例确认 SaaS 收入;活跃安全用户流失率低 | 要求提供各版本贡献者数量及环比增速;确认 CE 免费版的转化率 |
| Teams 版 — Supply Chain(SCA) | 自助每月订阅 | $30/contributor/month(每贡献者每月) | 与 Code 版并重;定价相同 | 高——随着企业接入更多代码库和语言,SCA 持续带动增购 | 确认 SC:Code 附加率;SC 是作为附加模块还是捆绑购买? |
| Teams 版 — Semgrep Secrets | 自助每月订阅 | $15/contributor/month(每贡献者每月) | 单价较低;与 Code 和 SC 形成互补 | 中——Secrets 商品化程度较高(GHAS、GitLab 均提供免费密钥扫描) | 要求提供仅 Secrets 与捆绑版的采用率数据;确认相比免费替代产品的留存情况 |
| 企业合同 | 直销,年度或多年期合同 | 定制 ACV;估计为 $50K-$500K+/年 | 主要收入贡献来源;买方为 CISO 级别;未披露客户数量 | 极高——多年期合同、SSO/SAML 绑定效应、切换成本高 | 确认企业客户数量、平均 ACV、多年期合同占比、NRR |
| Semgrep Assistant(AI 分类) | 与企业版捆绑;可能单独成层 | 大概率包含在企业版中;无公开独立定价 | 尚处初期——2024 年发布,采用率持续增长 | 中——AI 分类捆绑销售可能削弱独立产品价值;取决于差异化程度 | 确认 AI 分类是否有独立定价或以捆绑形式销售;衡量误报率降低指标 |
| 专业服务 / 托管扫描 | 按工时收费或固定费用实施 | 未公开披露 | 规模较小(估计占收入不足 5%) | 低——服务收入不具可扩展性;不会复利增长 | 要求提供服务收入占总收入的比例;确认服务部分的毛利率 |
收入分层数据来自 Semgrep 公开定价页面(semgrep.dev/pricing)。客户数量、ACV 区间及收入结构均未披露;各项估算由作者根据公开定价及可比公司基准自行推算。
[CI001, CI002, CI003, CI004, CI005]| 版本 | 定价 / 计量单位 | 合同模式 | 包含功能 | 定价 vs 实际成交价 | 折扣 / 未知信息 |
|---|---|---|---|---|---|
| 免费版(CE) | $0 | 不限量,无合同承诺 | 单功能 SAST、CE 规则、≤10 个代码库/贡献者,无 Pro 规则,无 AI 分类 | 定价 = 实际成交价($0) | 功能上限推动升级;无量级折扣或限时优惠 |
| Teams — Code(SAST) | $30/contributor/month(每贡献者每月) | 月度或年度订阅 | Pro Engine(跨文件/函数分析)、20,000+ 条 Pro 规则、Semgrep Assistant 基础分类、CI/CD 集成、无限代码库 | 年度折扣估计为 10–20%(未公开列出) | 年度与月度价格差距未披露;最低席位数量未知 |
| Teams — Supply Chain(SCA) | $30/contributor/month(每贡献者每月) | 月度或年度订阅 | 可达性感知 SCA、SBOM 导出、许可证合规检查、在 PR 中标注存在漏洞的依赖项 | 与 Code 版定价结构相同 | Code + SC 捆绑折扣未公开披露;大概率存在 |
| Teams — Secrets | $15/contributor/month(每贡献者每月) | 月度或年度订阅 | 硬编码凭据扫描、API 密钥检测、实时验证、PR 拦截 | 以 $15/贡献者计,低于 Code 版;可能作为引流产品或捆绑销售项 | Secrets 是否可在不购买 Code 或 SC 的情况下单独购买尚不明确 |
| Enterprise | 定制 ACV;未公开列出 | 年度或多年期企业合同 | Teams 版全部功能 + SSO/SAML、SCIM、托管扫描、SLA、审计日志、本地部署选项、专属 CSM、完整 Pro 规则集 | 对大型企业而言,Enterprise 定价通常为每位贡献者 Teams 定价的 2–5 倍 | 批量折扣、多产品捆绑、多年期条款;均未公开披露 |
定价数据来自 semgrep.dev/pricing,截至 2026 年 5 月。年度折扣假设基于典型 SaaS 定价规律,未经 Semgrep 确认。Enterprise ACV 区间由作者参考可比 SAST 厂商数据自行估算。
[CI002, CI003, CI004, CI006]3%–8% 的免费转付费转化率为 PLG 行业基准(OpenView 2025);Semgrep 实际转化率未予披露。
4.2 GTM 模式与销售效率指标
Semgrep 的市场进入模式以产品驱动(自下而上)为主,企业直销层正在形成。PLG 模式围绕三个转化节点构建: (1)开发者个人或小团队通过 GitHub Actions 或 CLI 采用;(2)团队达到 $30/contributor/月 Teams 阈值后 升级;(3)通过直销接触完成企业级整合。 PLG 模式大幅降低传统获客成本(CAC)。对自助 Teams 层客户而言,Semgrep 的有效 CAC 主要是开发者营销成本 (会议、开源赞助、文档和社区管理),而非传统内部销售周期。2025 年 2 月 Series D 完成后招募 Garrett Souza 担任销售副总裁,标志着有意构建企业直销体系——这是从纯 PLG 向混合模式的结构性转变。 SaaS PLG 基准数据(OpenView 2025)显示,拥有开发者优先免费层的 PLG 公司通常实现 3—8% 的免费到付费转化率, 规模化后 CAC 回本周期为 6—18 个月。将这些基准应用于 Semgrep 的 75M+ 年扫描次数和 14,300+ GitHub Star, 表明漏斗顶部规模可观,但转化效率在缺乏内部数据的情况下无法验证。 销售周期参考指标:SAST/SCA 市场的企业级销售周期,500+ 员工组织(需 CISO 级审批)通常为 90—180 天,中型 市场工程负责人主导的交易为 30—60 天。Semgrep 的 Managed Scanning 功能(代替客户处理 CI/CD 配置)将初次 发现价值的时间从数周压缩至数小时,很可能是转化加速器。 人均营收:$33.6M ARR / 210 名员工(2025 年 9 月)= 约 $160K/人。低于顶级 SaaS 基准($200—300K/人), 但与工程投入密集的成长期 Series D 公司一致。Series D 完成后的扩员(Tracxn 数据,2026 年 3 月:257 人) 表明营收在增长,但员工数也同步扩张。 [CI007, CI008, CI009, CI010, CI011, CI012]
| 指标 | 估算值 / 状态 | 置信度 | 重要性说明 | 尽调要求 |
|---|---|---|---|---|
| ARR(年经常性收入) | ~$33.6M (Latka, Sept 2025) | low | 收入倍数与烧钱速度计算的基准值;来源于众包数据,未经审计 | 要求管理层提供经核实的 ARR 及过去 12 个月的增速 |
| ARR 同比增速 | 未知——未披露 | none | 对 E 轮定位和估值至关重要;Checkmarx 在 $150M ARR 基础上增速超 30% | 向管理层索取当前 ARR 及上一年度 ARR;自行计算增速 |
| 毛利率 | 估计为 70–80%(行业基准) | low | 决定经营杠杆与盈利路径;LLM 推理成本可能压缩利润空间 | 要求提供最近财年的毛利率;确认营业成本的构成 |
| 净收入留存率(NRR) | 未知——未披露 | none | 衡量产品市场契合度与扩张收入的最佳指标;>110% 意味着强劲的增购能力 | 要求按队列(Teams 对比 Enterprise)提供 NRR 和 GRR;确认所用定义 |
| 客户数量 | 未知——未披露 | none | ACV 交叉验证和渠道分析的必要基础 | 要求提供各版本的付费客户总数 |
| 平均 ACV(企业版) | 估计为 $50K–$300K(作者估算) | low | 决定收入集中度风险;ACV 方差大意味着不确定性高 | 要求提供 ACV 分布直方图;确认最大及中位数合同规模 |
| CAC(获客成本) | 未知;自助渠道估计为 $1K–$10K;企业渠道估计为 $50K–$150K | low | PLG 自助渠道的 CAC 比直销企业渠道低数个数量级 | 要求提供各细分市场的综合 CAC;确认销售与市场费用占 ARR 的比例 |
| LTV:CAC 比率 | 未知;在毛利率 75–80% 的假设下推算为 3:1–5:1 | low | Benchmark: >3:1 属于健康水平;PLG 公司通常达到 5:1+ | 确认平均合同时长和流失率以计算 LTV |
| CAC 回收周期 | 估计为 12–24 个月(基准区间) | low | PLG 基准:<12 个月;企业销售基准:18–24 个月 | 根据销售与市场费用除以每季度新增 ARR 计算 |
| 月度烧钱速度 | 估计为 $4–7M/月(作者估算) | low | 决定现金跑道和融资依赖程度;旧金山 257 名员工意味着固定成本较高 | 向管理层索取季度现金消耗数据;确认在手现金 |
| 人均收入 | ~$160K/employee,按 $33.6M ARR / 210 emp. 计算 | medium | Benchmark: 顶级 SaaS 公司为 $200–300K;Semgrep 低于顶级水平,处于成长期属正常范围 | 核对员工数量与 ARR;随收入规模扩大追踪改善进展 |
所有置信度标记为"低"的估算均由作者参考行业基准自行推导。所有置信度为"无"的指标均未公开披露。以上估算仅供参考,投资决策前须经管理层核实。
[CI007, CI009, CI010, CI013, CI015, CI016]免费用户数量估计(50 万以上)及企业收入占比(ARR 50% 以上)均为作者参考同类 PLG 公司结构推算所得。实际用户数量及收入结构均为保密信息。
4.3 成本结构、毛利率与资本密集度
Semgrep 是一家基于云托管的 SaaS 企业,采用开发者工具架构。销售成本(COGS)主要由以下几部分构成:(1)扫描 执行层和数据管道的云托管费用(AWS/GCP);(2)CI/CD API 集成和 webhook 处理;(3)企业实施的专业服务人力 成本;(4)Supply Chain 漏洞情报第三方数据接入费用。 毛利率估算:无公开披露。基于开发者安全 SaaS 基准,75—80% 的毛利率较为典型;专业服务比重较大的公司(如 Veracode)毛利率偏低(约 60—70%)。Semgrep 的架构——以云端规则执行的核心静态分析引擎为基础——天然具备 高毛利特征。AI 分类层(Semgrep Assistant)引入 LLM 推理成本(OpenAI/Anthropic API 费用),若定价不当, 可能压缩毛利率 3—7 个百分点。 运营费用:私人未披露。预估研发费用约占 ARR 的 50—60%(成长期开发者工具典型值),销售与市场约占 40—50% (构建企业 GTM),综合管理费用约占 10—15%。以 $33.6M ARR 计,上述估算意味着年现金运营支出约 $45—75M, 当前规模下自由现金流(FCF)每年亏损约 $15—40M。 资本密集度:低。静态分析软件无硬件制造或实物资产要求,资本支出极少。云计算成本随扫描量扩张,规模化后形成 可变成本要素,但基础设施完成配置后每次额外扫描的边际成本极低。 [CI013, CI014, CI015, CI016, CI017]
A 轮金额根据 Crunchbase 部分数据估计约为 400 万美元,具体数字未经确认。累计消耗为作者推算:假设约 5 年内平均每年支出 2,000 万美元, 2024–2025 年有所提升。现金储备为由此推算的隐含余额,实际数字保密。
[CI025, CI026, CI027, CI028, CI029]4.4 公开牵引力指标与私有财务缺口
Semgrep 的公开运营指标提供了商业牵引力的间接证据,但无法替代财务披露: 运营指标(公开):年扫描代码次数 75M+(公司宣称)、GitHub Star 14,300+(可观测)、社区规则 3,000+ 条、 Pro 规则 20,000+ 条、支持语言 40+、员工 257 人(Tracxn,2026 年 3 月)。公开援引的客户名称包括 Figma、 Dropbox、Slack、Snowflake、HashiCorp、GitLab 和 Shopify。 营收估算:Latka 基于众包营收数据报告 2025 年 9 月 ARR 为 $33.6M。这与 210 名员工、人均 $160K 的比例相符, 是开发者安全公司 Series D 阶段的典型水平。目前无独立验证;CBInsights 将 Semgrep 财务数据标记为未披露。 截至 2026 年 5 月,Sacra 尚未发布对 Semgrep 的估算。 关键缺口:ARR、增长率、毛利率、NRR/GRR、CAC、LTV、客户数量、ACV 分布和烧钱速度均未披露。在未确认 ARR 的情况下,融资倍数(估值/ARR)无法验证。假设估值 $1B、ARR $33.6M,收入倍数约为 ~30x——激进,但对 2025 年高增长开发者安全 SaaS 而言并非史无前例。 [CI018, CI019, CI020, CI021, CI022, CI023]
| 缺失的私密指标 | 对投资的重要性 | 对判断的影响 | 具体尽调路径 |
|---|---|---|---|
| 年经常性收入(ARR) | 验证 $33.6M 的 Latka 估算;若无确认的 ARR,所有估值倍数均属推测 | 无法核实估值、增速或收入质量 | 要求管理层提供过去 8 个季度的 ARR 推算表;与 Latka 估算进行对比 |
| ARR 增速 | 在 D 轮阶段,预期增速应达 30–50%+;Checkmarx 在 $150M ARR 基础上增速超 30% | 若无增速数据,无法判断公司是否处于正轨或已停滞 | 要求提供过去 12 个月的 ARR 复合增速;索取 Teams → Enterprise 转化的队列数据 |
| 毛利率 | 决定 Semgrep 的 SaaS 经济模型是否具有竞争力(目标:75–80%+) | 若无毛利率数据,无法估算盈利路径或经营杠杆 | 要求提供最近财年及上一财年的 GAAP 毛利率;确认营业成本分类方式 |
| 净收入留存率(NRR) | SaaS 产品市场契合度的最佳衡量指标;>110% 表明扩张能力强劲 | 若无 NRR,无法区分业务是在增长还是在流失现有客户 | 要求按队列(Teams 对比 Enterprise)提供过去 4 个季度的 NRR |
| 客户数量与 ACV 分布 | 收入集中度评估、流失率建模及渠道分析的必要基础 | 若无客户数量,无法评估风险集中度或估算 LTV | 要求提供付费客户总数、前 10 大客户占 ARR 的比例及中位数 ACV |
| 烧钱速度与实际在手现金 | 现金跑道建模和融资风险评估的必要基础 | 当前跑道估算($50M 现金,月烧钱 $4–7M)意味着最晚 2027 年上半年需要启动 E 轮融资 | 要求提供最新的董事会批准预算及实际现金状况报告 |
| Opengrep 对转化率的影响 | 2024 年 12 月许可证变更后,CE 到 Teams 的转化率可能有所下滑 | 若转化率下滑幅度较大,PLG 漏斗逻辑将受损,企业销售的重要性将随之上升 | 要求提供 CE 下载量趋势及 2024 年 12 月前后 CE 到 Teams 的转化率数据 |
本表所有条目均为截至 2026 年 5 月无法从公开来源获取的私密信息。阻碍投资承销推进的关键缺口为:ARR 确认、毛利率、NRR 及烧钱速度。
[CI019, CI020, CI021, CI022, CI024, CI029]所有情景均为作者推算估计。Latka 数据来源于众包,未经审计。E 轮 ARR 门槛依据开发者安全 SaaS 可比估值推算(Snyk 85 亿美元 / 4.07 亿美元 ≈ 21 倍;Checkmarx 在 1.5 亿美元 ARR 时隐含约 15–20 倍)。
4.5 资本充足性与融资依赖
Semgrep 于 2025 年 2 月 5 日完成 1 亿美元 D 轮融资,由 Menlo Ventures 领投,Lightspeed、Redpoint、Sequoia、Felicis 和 Harpoon 跟投。累计融资总额达 2.04 亿美元,历经四轮。D 轮融资公告指明资金将投向 AI 与程序分析人才、产品知名度提升,以及 GTM(欧洲和亚太地区的地理扩张)。 烧钱速度估算:截至 2026 年 3 月,Semgrep 在旧金山有 257 名员工,参照典型开发者工具公司的成本结构,预计每月现金消耗约 400–700 万美元,折合全年现金消耗 4,800–8,400 万美元。该估算涵盖薪资(约占烧钱速度的 50–55%,人均全包成本约 20–25 万美元)、云基础设施及管理费用。 现金跑道估算:D 轮融资交割后,若 1 亿美元中有 8,000–9,000 万美元尚未动用(扣除交割前成本和过渡期支出),以每月 400–700 万美元的烧钱速度计,现金跑道约可延伸至 2025 年 2 月起的 13–22 个月,即 E 轮融资窗口约在 2026 年第一季度至 2026 年第四季度。 鉴于本次分析日期(2026 年 5 月),若年经常性收入(ARR)未能实质性加速,Semgrep 可能在未来 6–12 个月内迎来融资拐点。 债务与项目融资:无已披露债务,公司完全依靠股权融资,未发现项目融资义务、客户融资安排或政府合同要求。 资本充足性判断:1 亿美元 D 轮融资为 12–24 个月的加速期提供了充裕跑道。核心依赖在于 ARR 增长:Semgrep 须在 3,360 万美元 ARR 基础上实现显著提升(如迈向 5,000–7,000 万美元),方能以更高估值支撑 E 轮融资。若 Opengrep 分叉后 ARR 增长已停滞, 融资窗口将更为逼仄。 [CI025, CI026, CI027, CI028, CI029, CI030]
| 项目 | 数值 / 状态 | 来源 | 备注 |
|---|---|---|---|
| 累计融资总额 | $204M cumulative | 公司公告(PR Newswire,2025 年 2 月) | A 轮($0.01M 未披露)+ B 轮 + C 轮 $53M + D 轮 $100M |
| 最近一轮融资 | $100M Series D, February 5, 2025 | PR Newswire、Menlo Ventures 公告 | 由 Menlo 领投(Matt Murphy 取得董事席位);Lightspeed、Redpoint、Sequoia、Felicis、Harpoon 跟投 |
| 估计在手现金(2026 年 5 月) | $50–90M(作者估算) | 由 $100M D 轮减去 15 个月估计烧钱($4–7M/月)推算而得 | 不确定性较高;实际金额取决于交割前支出、收入回款及资本性支出 |
| 估计月度烧钱速度 | $4–7M/month(作者估算) | 基于 257 名员工 × $200–250K 全包年成本 ÷ 12,加上基础设施及一般行政费用 | 下限假设运营高效;上限包含激进的市场拓展投入 |
| 估计现金跑道(自 2026 年 5 月起) | 10–22 个月(作者估算) | 在手现金估算 ÷ 月度烧钱估算 | 区间较宽反映现金与烧钱两端的不确定性;预计最晚 2027 年上半年需要启动 E 轮融资 |
| D 轮资金用途规划 | AI/程序分析人才招募、产品知名度提升、GTM 拓展(欧洲/亚太) | PR Newswire,2025 年 2 月 | 未披露具体分配方案;仅公布三大用途方向 |
| 未偿债务 / 项目融资 | 未发现 | 公开披露及新闻检索 | 未发现风险债务、可转换票据或项目融资义务 |
| 下一轮触发条件 | 未知——估计 ARR 需升至 $60–80M 或达成产品里程碑 | 作者参考可比 E 轮基准自行估算 | E 轮通常在 ARR 较 D 轮融资时 2–3 倍提升后触发 |
所有估算均由作者自行推导。在手现金、烧钱速度和现金跑道的实际数据均属私密信息。E 轮融资时间及条款具有推测性,基于行业可比数据。
[CI025, CI026, CI027, CI028, CI029, CI030]4.6 附录
05产品与技术
5.1 产品定义与客户工作流
Semgrep 是一款开发者优先的应用安全平台,在代码提交时扫描源代码——涵盖开发者 IDE、CI/CD Pull Request 以及全仓库定期 扫描——在安全漏洞进入生产环境前将其识别出来。平台围绕四款核心产品构建: **Semgrep Code(SAST):** 静态应用安全测试引擎,通过模式匹配和数据流分析,比对超过 20,000 条 Pro 规则(由 Semgrep 工程师精选维护)和 3,000 余条社区规则,发现安全漏洞。Pro Engine 新增跨文件、跨函数的污点追踪,能检测跨多个模块的漏洞—— 这是 Semgrep 区别于 grep 等简单模式匹配工具及基础 SAST 扫描器的核心技术能力。 **Semgrep Supply Chain(SCA):** 开源依赖分析工具,超越简单 CVE 列表匹配,引入可达性分析——验证依赖项中的漏洞函数是否 真正被应用代码调用。这种"可达性感知 SCA"大幅降低噪声:Semgrep 宣称在给定代码库中,列表匹配型 SCA 工具标记的 CVE 中 仅 2–5% 被判定为"可达"。 **Semgrep Secrets:** 对嵌入源代码中的 API 密钥、令牌、密码和私钥进行硬编码凭据检测,支持实时验证(向端点发送探测请求 确认密钥是否有效)并阻断含密钥的 PR 合并。 **Semgrep Assistant:** AI 驱动的漏洞分类与修复层,于 2024 年推出,基于大语言模型(可能为 OpenAI GPT-4 或 Claude)构建。 Assistant 自动分类扫描结果,过滤确认的误报,以自然语言解释发现内容,并生成建议的代码修复方案。企业版内置 Assistant, Teams 档可选购。 客户工作流从开发者通过 GitHub Actions 或 CLI 自助采用(社区版 → 升级至 Teams)开始,再借助 Managed Scanning 功能扩展 到全企业部署——该功能通过直销模式,在所有仓库间自动化 CI/CD 配置,无需各团队开发者单独介入。 [CE001, CE002, CE003, CE004, CE005, CE006]
| 模块 / SKU | 主要用户 | 状态 / 成熟度 | 核心差异化 | 尽调缺口 |
|---|---|---|---|---|
| Semgrep Code(SAST)— CE(免费版) | 个人开发者 / 小型团队 | 正式发布——成熟产品,上市 7 年以上 | 开源可移植性、规则语言易用性、支持 40+ 种语言、社区规则 | CE 到付费版的转化率受 Opengrep fork 影响;需持续监测采用指标 |
| Semgrep Code(SAST)— Pro Engine(专业引擎) | 工程团队 / 企业安全团队 | 正式发布——成熟产品,Pro Engine 于 2022 年推出 | 跨文件/跨函数数据流分析;20,000+ 条 Pro 规则;与 CE 相比误报率更低 | 与竞争对手(CodeQL、Checkmarx)的误报率对比基准尚未经独立验证 |
| Semgrep Supply Chain(SCA) | AppSec 团队 / DevOps | 正式发布——可达性分析自 2023 年起正式发布 | 可达性感知 SCA 相较于 CVE 列表工具可减少 95%+ 噪音;支持 SBOM 导出 | 可达性准确率基准测试方法尚未经独立审计;Java/JS 成熟度高于 Python/Ruby |
| Semgrep Secrets | 开发者 / AppSec | 正式发布——2023 年推出 | 实时密钥验证(通过调用 API 确认密钥是否有效);PR 拦截 | 市场竞争激烈(GitLeaks、TruffleHog、GHAS、GitLab 均有产品);与免费替代品的差异化尚不明确 |
| Semgrep Assistant(AI 分类) | AppSec / 开发者 | 正式发布 Beta 版——2024 年推出,持续迭代开发中 | AI 分类与自动修复建议;过滤误报;由 LLM API 提供支持 | 依赖 LLM 提供商(OpenAI/Anthropic);修复质量及自动接受率未公开 |
| 托管扫描 | 企业 AppSec 团队 | 正式发布——2024 年上线 | 统一管理所有代码库的 CI/CD 配置;将部署准备时间从数天缩短至数小时 | 大规模企业部署场景(10,000+ 代码库)尚无公开基准数据;容量限制未知 |
成熟度评估基于 Semgrep 公开文档和产品发布历史。误报率及基准数据均为公司自述;独立验证有限。
[CE001, CE002, CE003, CE004, CE005]| 用户需求 | 当前工作流(无 Semgrep) | Semgrep 解决方案 | 可量化收益(公司自述) | 主要局限 |
|---|---|---|---|---|
| 开发者:在 PR 合并前发现安全漏洞 | 人工代码审查;误报率高的 SAST 扫描器需人工分类 | 在 CI/CD 中使用 Semgrep Code 配合 Pro 规则:自动扫描 PR diff,误报率低 | 开发者在 PR 阶段即可修复问题;据称比部署后修复快多达 10 倍 | 扫描覆盖范围取决于规则库;新型漏洞类别须等规则编写后方可覆盖 |
| AppSec 团队:确定开源依赖中哪些 CVE 需优先修复 | 完整 CVE 扫描结果(10,000 条以上);按严重性手工分类;CVSS 评分筛选 | Semgrep Supply Chain:可达性分析将结果过滤至实际代码可达的 2–5% CVE | 据称噪声减少 95% 以上;分类时间从数天缩短至数小时 | 动态分发、反射及部分语言习惯(Ruby、PHP)下可达性准确率有限 |
| 开发者:防止硬编码密钥被提交 | Git 提交钩子(可选);定期密钥扫描;提交后修复 | Semgrep Secrets:预提交拦截 + 实时验证检测到的密钥 | 实时验证相较纯正则工具(如 TruffleHog)可降低误报 | 长随机字符串误报率高;自定义令牌格式需额外配置 |
| AppSec 团队:无需各团队单独操作,即可向 500 个以上代码库部署安全扫描 | 各团队独立配置 CI/CD;开发者培训;手工编写 yml | Semgrep Managed Scanning:通过 GitHub App 集中部署;无需各团队改动 CI | 企业全量部署时间从数周缩短至数小时 | Managed Scanning 较新;10,000 个以上代码库规模的公开案例有限 |
| AppSec 团队:分类并解释大量扫描积压问题 | 每个迭代人工审查数百条发现;JIRA 工单泛滥;开发者体验差 | Semgrep Assistant:AI 分类过滤已确认的误报,用通俗语言解释发现,并提出修复建议 | 据称分类负担减少 60% 以上(公司自述,未经独立核实) | LLM 推理成本及延迟;修复质量因语言和发现类型而异 |
标注"公司自述"的收益指标来源于 Semgrep 产品页面和博客,未经独立核实。
[CE001, CE002, CE003, CE005, CE006]客户旅程为理想化模型。Enterprise 销售周期因组织成熟度、安全预算周期及竞争态势而异。并非所有客户均遵循 CE → Teams → Enterprise 的演进路径。
5.2 架构与运营模式
Semgrep 的软件架构分为三层: **第一层——扫描引擎(OSS 核心):** 基础静态分析引擎以 OCaml 编写并开源(此前采用 LGPL-2.1,2024 年 12 月起改用 Semgrep Open Source License,并对 CE 规则加以限制)。引擎使用 tree-sitter 语法对 40 余种编程语言进行语言特定的 AST(抽象语法树)解析,所有层级均可使用 OSS 引擎提供的语法模式匹配和过程内分析。 **第二层——Pro Engine(付费):** Pro Engine 在 OSS 核心基础上扩展了过程间污点分析(跨文件、跨函数数据流)、完整的 20,000 余条 Pro 规则库,以及高级语言专用分析器。Pro Engine 在 Semgrep 的云基础设施上运行(非本地),扫描结果将传输至 Semgrep 服务器进行 Pro 层分析,所有付费客户因此对云端产生依赖。 **第三层——AppSec 平台(云端):** 基于 Web 的管理控制台(semgrep.dev)提供仓库管理、发现分类、规则配置、策略执行、 用户管理(SSO/SAML/SCIM)、报告仪表板、AI 分类(Semgrep Assistant)、Managed Scanning 编排及 API 访问,并存储发现 历史与趋势数据。 **数据管道:** 源代码由 Semgrep CLI(在 CI/CD 中运行)在本地扫描;发现元数据(文件路径、规则 ID、匹配文本片段、行号) 传输至云平台。默认不传输完整源代码,仅发送匹配的代码片段和上下文行。该架构对企业安全审批流程至关重要。 **依赖关系图:** 平台通过 OAuth 和 Webhook API 与 GitHub、GitLab、Bitbucket 和 Azure DevOps 深度集成。Semgrep Assistant 依赖第三方 LLM API(OpenAI 或 Anthropic)进行代码解释和修复生成。Supply Chain 依赖 CVE/NVD 数据库 (NIST)、GitHub Advisory Database 以及 Semgrep 自研的可达性分析。OSS 引擎是整个平台的强依赖项。 [CE007, CE008, CE009, CE010, CE011, CE012]
| 层 / 组件 | 职能 | 技术 / 实现 | 外部依赖 | 主要风险 |
|---|---|---|---|---|
| 语言解析器 / AST | 将源代码转换为抽象语法树以供分析 | 各语言 tree-sitter 语法规则;由开源社区和 Semgrep 团队维护 | tree-sitter 开源库(MIT 许可证) | 语言覆盖存在空白;新语言版本可能在社区修补前破坏语法规则 |
| 模式匹配引擎(OSS Core) | 基于 AST 执行 YAML 规则匹配;过程内分析 | OCaml 代码库;LGPL-2.1(2024 年 12 月前)/ Semgrep OSL(2024 年 12 月后);运行于开发者本地机器或 CI runner | 无——自包含二进制文件 | Opengrep 分叉;若 Opengrep 3.15 倍加速的说法成立,将产生性能差距 |
| Pro Engine(污点分析 / 数据流) | 为 Pro 规则提供跨文件、跨函数的污点分析 | 基于 OSS 核心的自研 OCaml 扩展;云端分析通过 Semgrep cloud API 运行 | Semgrep 云基础设施(AWS/GCP);本地扫描器通过 API 调用 | 云依赖在隔离网络环境中引入延迟和故障风险;Teams 层无本地部署选项 |
| 规则注册表 | 存储、版本化并分发规则 | Semgrep Registry(semgrep.dev/r);YAML 规则格式;社区规则 + Pro 规则 | GitHub(社区规则);Semgrep 托管 API(Pro 规则) | 规则时效性:新披露的 CVE 类别从公开到社区规则发布可能滞后数天至数周 |
| 云平台(AppSec 控制台) | 发现管理、分类、报告、SSO、Managed Scanning 编排 | SaaS 网页应用;semgrep.dev;多租户,企业级租户隔离 | AWS/GCP 提供计算与存储;Assistant 使用第三方 LLM API(OpenAI/Anthropic) | Assistant 依赖 LLM 供应商;客户数据经第三方 LLM 处理,可能需安全审查 |
| CI/CD 集成 | 在 PR 事件时触发扫描;将发现发布至 PR 检查;阻断合并 | GitHub Actions、GitLab CI、Jenkins 插件、CircleCI orb、Azure DevOps 扩展、Bitbucket pipelines | GitHub API、GitLab API、Bitbucket API、Azure DevOps API(版本控制系统 API) | GitHub API 速率限制及策略变更可能影响企业规模下的扫描频率 |
| 可达性引擎(Supply Chain) | 从应用代码构建调用图;叠加 CVE 影响的函数调用 | 基于 Pro Engine 数据流原语构建的自研调用图分析 | NIST NVD CVE feed、GitHub Advisory Database、OSS Insights 数据 | NVD feed 延迟(披露后最长 48 小时);反射及动态分发场景下可达性准确率低 |
架构细节来自 Semgrep 公开文档、开源代码和产品博客,自研层细节不完整。
[CE007, CE008, CE009, CE010, CE011]架构层级划分基于 Semgrep 公开文档。Pro Engine 云端执行边界系从文档中关于 Pro Engine 运行于 Semgrep 基础设施的表述推断。
依赖关系系从公开文档推断。确切的云服务提供商和 LLM 提供商未经公开确认;根据现有信息,AWS 和 OpenAI 可能性最高。
5.3 部署方式、集成与路线图
**部署模式:** - CLI:`semgrep scan` 在本地针对任意 Git 仓库运行;需要 Python 3 或 Docker - CI/CD 原生集成:GitHub Actions、GitLab CI/CD、Jenkins、CircleCI、Azure DevOps、Bitbucket Pipelines—— 由 Semgrep 官方维护的 Action/插件 - IDE 插件:VS Code 扩展、IntelliJ/JetBrains 插件、兼容 LSP 的编辑器 - Managed Scanning:Semgrep 通过 GitHub App 或 GitLab 集成,统一部署并维护所有仓库的 CI/CD 配置,消除各团队 开发者的配置负担 - API:REST API,支持发现导出、SBOM 生成,以及与 JIRA、Linear、PagerDuty、Slack 的 CI 状态 Webhook 集成 **平台集成:** Semgrep 与 JIRA(从发现创建工单)、Slack(PR 通知)、GitHub/GitLab 安全仪表板(SARIF 输出)、 Snyk 依赖数据(历史集成,早于 Snyk 竞争重叠期)及 SIEM 工具(通过 Webhook)集成。SSO 支持 SAML 2.0、Okta、 Azure AD 和 Google Workspace。 **路线图方向(2025–2026):** - AI 优先:扩展 Semgrep Assistant 至自动修复生成、IDE 优先分类及面向开发者的修复辅导 - Managed Scanning GA:将企业客户部署时间从数小时压缩至数分钟 - Supply Chain 扩展:为解释型语言(Python、Ruby、PHP)提供更广泛的可达性分析 - 地理扩张:提供欧洲和亚太数据驻留选项,满足 GDPR 及地区数据法规要求 - 规则质量:持续扩充 Pro 规则库;社区规则保持开放 [CE013, CE014, CE015, CE016, CE017]
| 日期 / 阶段 | 功能 / 里程碑 | 状态 | 战略意义 | 来源 |
|---|---|---|---|---|
| 2017–2021 | Semgrep OSS 核心发布;社区规则生态建设;A/B 轮融资 | 完成——已上线 | 确立开源开发者品牌;建立 PR 反馈闭环;构建社区护城河 | Semgrep blog、Crunchbase(公开资料) |
| 2022 | Semgrep Pro Engine 发布(跨文件/函数数据流、Pro 规则) | 完成——正式发布 | 支撑差异化企业销售;验证付费层相较免费工具的价值主张 | Semgrep blog — Pro Engine announcement(产品公告) |
| 2023 | Semgrep Supply Chain 正式发布;Semgrep Secrets 上线;C 轮融资 $53M | 完成——正式发布 | 从单产品 SAST 扩展至多产品 AppSec 平台;提升合同年度价值(ACV)空间 | PR Newswire、Semgrep blog(公开资料) |
| 2024 | Semgrep Assistant GA Beta;Managed Scanning 上线;2024 年 12 月 CE 许可证变更 | 完成——已上市 | AI 分类相较传统 SAST 形成差异化;Managed Scanning 降低企业部署阻力;许可证变更带来社区风险 | Semgrep blog、Opengrep announcement(公开资料) |
| Feb 2025 | D 轮融资 $100M 完成;Garrett Souza(VP Sales)入职;Opengrep 分叉发布 | 完成 | 企业 GTM 提速;直销投入加大;社区分叉带来竞争与声誉风险 | PR Newswire、Opengrep blog(公开资料) |
| 2025–2026(计划中) | AI 自动修复生成正式发布;欧盟/亚太数据本地存储;Python/Ruby/PHP 供应链可达性;FedRAMP 授权推进 | 开发中 | 与 GitHub Copilot Autofix 的 AI 差异化至关重要;数据本地存储打开欧洲企业销售;联邦市场须完成 FedRAMP | PR Newswire Series D 资金用途;Semgrep roadmap blog |
| 2026+(推断) | E 轮融资;可能开设海外办公室;平台或扩展至 DAST 或运行时防护 | 推测 | 资本充足性要求 ARR 跃升;进军 DAST/运行时防护需大规模产品投入,且面临成熟竞争对手(Contrast、Invicti) | 作者基于行业轨迹推断 |
2025–2026 年路线图条目来自 D 轮融资用途公告和产品博客的推断。2026 年及以后的条目为作者推测。
[CE013, CE014, CE015, CE016, CE017]5.4 技术差异化与知识产权
Semgrep 的主要技术差异化主张包括: 1. **规则语言与可移植性:** Semgrep 规则语言(基于 YAML 的模式 DSL)允许安全工程师无需深入编译器知识即可编写规则。 针对某一语言框架编写的规则,通常可在数分钟内适配到另一语言。这种可移植性产生网络效应:社区用户已为 Semgrep 团队未 优先支持的框架和语言贡献了 3,000 余条社区规则。 2. **Pro Engine 数据流精度:** 跨文件和跨函数的污点分析计算开销大;Semgrep 通过组合式过程间分析加以实现,能在合理 扫描时间内扩展至企业规模代码库。GitHub 的 CodeQL 同样提供过程间分析,但 CodeQL 要求掌握学习曲线陡峭的专有查询语言。 Semgrep 的主张是:在不牺牲精度的前提下,开发者的上手门槛更低。 3. **可达性感知 SCA:** Supply Chain 产品的可达性分析(在依赖图之上构建调用图计算)是 SCA 市场的真正技术差异化点。 多数 SCA 工具不论代码路径如何,标记依赖图中所有 CVE;Semgrep 在已发布基准测试中将其减少了 95% 以上。 4. **扫描遥测数据护城河:** 每年 7,500 万次以上的扫描产生匿名化模式遥测数据,为规则质量和误报率提供反馈。若 Semgrep 能将这些数据用于训练规则分类器,这一数据优势将随时间复利增长。 5. **速度:** Semgrep OSS 专为开发者时间反馈循环而设计,对变更文件的增量扫描目标为 60 秒以内。Opengrep 在 2025 年初 声称全仓库基准测试性能提升 3.15 倍,若属实,将对 Semgrep 的开发者体验优势构成竞争威胁。 **知识产权状况:** 未发现公开的专利组合。IP 主要内嵌于 Pro Engine 的专有数据流分析和 Pro 规则库中。OCaml 引擎源码 已开放(2024 年 12 月后受许可证限制)。Pro Engine 和 Pro 规则为专有商业秘密。 [CE018, CE019, CE020, CE021, CE022, CE023]
能力评级为作者基于公开文档、产品功能列表及竞争对手对比所作的主观评估。"高 / 中 / 低"评级为定性判断,各维度均无独立基准可供参照。
5.5 信任、安全、合规与质量控制
**安全认证:** Semgrep 持有 SOC 2 Type II 认证,涵盖安全性、可用性和保密性控制。合规报告可在签署 NDA 后通过 trust.semgrep.dev 向企业客户提供。 **GDPR 合规:** Semgrep 已为欧洲客户发布数据处理协议(DPA),并支持 GDPR 数据删除请求。截至 2025 年,传输至 Semgrep 平台的代码片段数据受 GDPR 留存和删除控制约束。 **FedRAMP:** 截至 2026 年 5 月,尚未获得 FedRAMP 授权状态。这是进入美国联邦政府销售市场的阻断性因素,限制了在 受监管美国政府领域的可及市场。Semgrep 已被标注为"FedRAMP Ready",仍在推进中;完成时间表未知。 **HIPAA:** 未发现公开的 HIPAA BAA 服务;Semgrep 未将医疗保健作为主要垂直行业。 **数据处理政策:** 默认情况下,Semgrep 不使用客户代码训练 AI 模型;遥测改进计划需客户主动选择加入。隐私文档明确, 发送至 Semgrep 云平台进行 Pro Engine 分析的代码片段,未经客户明确同意不用于规则训练。 **状态与可靠性:** 状态页面(status.semgrep.dev)显示企业档 SLA 可用率为 99.9%。截至 2026 年 5 月,未发现重大 公开披露的服务中断事件。 **质量控制:** Semgrep 发布 Pro 规则的误报率基准;Pro 规则典型误报率声称在基准规则集上低于 5%。社区规则无强制误报率 标准。 **漏洞披露:** Semgrep 已发布负责任披露政策。未发现归因于 Semgrep SaaS 平台的公开 CVE。 [CE024, CE025, CE026, CE027, CE028, CE029]
| 控制 / 认证 | 状态 | 范围 | 差距 / 风险 |
|---|---|---|---|
| SOC 2 Type II | 已认证——有效 | Semgrep 云平台的安全性、可用性和保密性控制 | 报告仅在保密协议(NDA)下提供;上次审计日期未公开披露 |
| GDPR 合规 | 合规——已发布数据处理协议(DPA) | 面向欧盟客户的数据处理协议;代码片段的保留和删除控制 | 数据地理存储(欧盟托管)截至 2026 年 5 月尚未正式上线;列入路线图 |
| FedRAMP | FedRAMP Ready——尚未获得授权 | 初步评估完成;尚未获得完整授权 | 阻碍美国联邦政府销售;完成时间表未知;为多年期工程 |
| HIPAA | 不适用——无 BAA | Semgrep 不面向医疗健康行业,亦无 HIPAA BAA 合同 | 若医疗行业产生 AppSec 需求,将制约相关销售 |
| AI/LLM 数据处理(Assistant) | 默认不将遥测数据用于模型训练 | 发送至 LLM API 的客户代码片段,未经同意不用于模型训练 | 第三方 LLM 供应商处理代码片段;客户可能需要子处理方 DPA 附加协议 |
| 漏洞披露政策 | 已发布——负责任披露计划 | 通过 security@semgrep.com 接受安全漏洞报告;CVD 流程已到位 | 未发现漏洞赏金计划;可能限制外部安全研究贡献 |
| 平台可用性 SLA | 99.9% Enterprise SLA(企业可用性承诺) | Semgrep AppSec 平台针对 Enterprise 层的可用性承诺 | 状态页面(status.semgrep.dev)记录事故;截至 2026 年 5 月无重大停机披露 |
| 误报率(Pro 规则) | 公司自述基准规则集误报率低于 5% | Pro 规则——特定 OWASP 映射规则类别 | 无独立第三方误报率基准发布;方法论未经外部验证 |
状态信息来自 trust.semgrep.dev、Semgrep 文档及公开披露。FedRAMP 状态来自政府数据库和 Semgrep 博客。
[CE024, CE025, CE026, CE027, CE028, CE029]5.6 附录
06客户情况
6.1 客户群细分
Semgrep 的客户群由三个细分市场构成,各自在获客动态、使用模式和收入贡献上存在根本差异: **细分市场一——社区版(CE)/ 开源用户(免费):** 估计有数十万开发者将 Semgrep CLI 用于个人项目、业余项目或评估安装。 该群体不贡献任何直接收入,但是 Semgrep PLG 管道的来源。CE 用户产生每年 7,500 万次以上的扫描信号,为规则改进提供遥测。 2024 年 12 月的 CE 许可证限制使该细分市场出现不确定性,Opengrep 分叉提供了另一条 CE 路径。 **细分市场二——Teams 档(自助付费):** 规模在 10–500 名员工之间的公司工程团队,已超过 CE 免费档限制,或需要 Pro 规则、AI 分类或 Secrets 扫描。买家通常是工程负责人或开发者安全负责人,通过信用卡或年度发票自助完成购买。客户经济效益: 30 美元/贡献者/月 × 12 个月 = 最低 360 美元/贡献者/年。50 人工程团队按 30 美元/贡献者付费,年贡献约 1.8 万美元。 **细分市场三——企业版(直销):** 500 名以上员工的组织,通常由 CISO 主导采购,需要 SSO/SAML、SCIM、审计日志、SLA、 Managed Scanning 及安全合规文档。该细分市场贡献大部分 ARR(基于典型 PLG 企业收入结构,估计占 60–70%)。参照同类 SAST 企业供应商,平均合同价值估计在 5 万至 30 万美元/年。多年合同是常态。主要垂直行业:SaaS/云原生、金融科技、企业软件、 消费科技。 **地理集中度:** 北美是主要市场(总部位于旧金山;多数具名客户为美国企业)。欧洲和亚太扩张已作为 D 轮优先事项宣布, 但尚无欧洲企业客户案例发布。 **垂直行业集中度:** 具名客户集中在软件原生公司(Figma、Dropbox、Slack、GitLab、Shopify)——这些公司拥有大型工程团队、 成熟的安全项目和开发者优先的文化。这造成买家群体集中于"科技公司",而非广泛的行业渗透。 [CU001, CU002, CU003, CU004, CU005]
| 细分市场 | 买家 / 用户 / 付款方 | 使用场景 | 规模 / 体量 | 营收 / 战略价值 | 主要差距 |
|---|---|---|---|---|---|
| CE / 开源(免费) | 个人开发者、开源贡献者 | 本地代码扫描、自定义规则开发、开源安全执行 | 全球数十万次安装 | 直接营收为零;付费层的顶部漏斗;社区规则生态 | 许可证变更 + Opengrep 分叉可能加速 CE 用户流向免费替代品 |
| Teams 层(自助付费) | 工程负责人、开发者安全推广者、小型 AppSec 团队 | 面向超出免费层的工程团队,提供 CI/CD 集成的 SAST/SCA/Secrets | 10–500 人开发者团队;自助购买 | 估计占 ARR 的 30–40%;单位经济:每位贡献者 $360–720/年 | 客户数和 ARPU 未披露;CE 转化率未知 |
| Enterprise(直销) | CISO、工程副总裁、AppSec 总监(经济买家) | 企业级 AppSec 平台:Code + SC + Secrets + Assistant + Managed Scanning | 500 人以上企业;多部门部署 | 估计占 ARR 的 60–70%;ACV $50K–$300K;多年期合同 | 客户数和净收入留存率(NRR)未披露;无公开企业赢单/失单率 |
| OEM / 嵌入式(GitLab) | GitLab(通过 GitLab Ultimate SAST 扫描器) | Semgrep CE 规则嵌入 GitLab SAST 产品 | GitLab 企业客户群(数百万用户) | 间接:规则生态开发;非来自 GitLab 的直接 ARR | GitLab 合作的收入条款未披露;GitLab 可随时更换引擎 |
细分市场规模和营收贡献估计由作者根据典型 PLG SaaS 企业收入结构基准推算,实际分布属私密信息。
[CU001, CU002, CU003, CU004]旅程阶段参照 Semgrep PLG 产品文档进行理想化处理。实际旅程因组织安全成熟度和买家画像不同而存在差异。
6.2 采纳轨迹与公开牵引力
Semgrep 的可公开观察采纳指标呈现出强劲的开发者社区采纳态势,而商业牵引力的可见度则较为有限: **社区指标(高置信度,公开可验证):** - 每年 7,500 万次以上的代码扫描——截至 2025 年公司自报,覆盖所有 CE 和付费档的总扫描量 - 14,300 余个 GitHub 星标——可在 github.com/semgrep/semgrep 验证;在开发者安全工具中高于平均水平 - 3,000 余条由外部开发者贡献的社区规则——生态深度的佐证 - 支持 40 余种语言——广泛的语言覆盖降低了多语言组织的采纳摩擦 **评测平台指标(中等置信度):** - G2:截至 2026 年初,30 余条评测,平均评分 4.5/5;多数正面评测突出规则准确性和开发者友好性;多数负面评测提及 社区规则误报噪声和 CI 性能开销 - Gartner Peer Insights:数据有限;截至 2025 年,Semgrep 尚未进入应用安全测试 Gartner 魔力象限(Snyk、Checkmarx 和 Veracode 占据主导) - Capterra 和 PeerSpot:评测数量较少;情感倾向与 G2 一致 **收入代理牵引力:** - ARR 约 3,360 万美元(Latka,2025 年 9 月估算),员工 210 人——以典型 SAST 企业 ACV 范围推算,隐含付费客户数约 100–400 家 - 每员工收入约 16 万美元,低于开发者 SaaS 巅峰期基准,但与成长期扩张阶段一致 **采纳新鲜度风险:** 2024 年 12 月的 CE 许可证限制和 2025 年 1 月的 Opengrep 分叉是 CE 新增采纳的潜在拐点。若新 开发者安装正向 Opengrep 迁移而非选择 Semgrep CE,顶部漏斗 CE 获客速率可能正在减速,最终将拖慢 Teams 和企业版的 销售管道增长。 [CU006, CU007, CU008, CU009, CU010, CU011]
| 指标 | 数值 | 日期 | 来源 | 置信度 | 含义 | 缺失分母 |
|---|---|---|---|---|---|---|
| 年度代码扫描次数 | 75M+ | 2025 | Semgrep 公司自述 | 中 | 开发者入口强劲;CE + 付费层合计 7500 万次扫描印证平台覆盖广度 | CE、Teams 和 Enterprise 扫描量无细分 |
| GitHub star 数 | 14,300+ | May 2026 | GitHub(公开可见) | 高 | 按 GitHub star 数位居开发者安全工具前 10%;印证开发者品牌强势 | star 数属虚荣指标;与付费转化无直接关联 |
| 社区贡献规则数 | 3,000+ | 2025 | Semgrep registry(规则注册表,semgrep.dev/r) | 高 | 社区生态活跃;外部开发者为 40 余种语言贡献规则 | 规则质量差异大;社区规则无误报率约束 |
| Pro 规则(精选) | 20,000+ | 2025 | Semgrep 公司自述 | 中 | SAST 市场中最大的精选 Pro 规则库;覆盖相关 OWASP/CWE | 各语言和框架的规则覆盖不均;无独立审计 |
| 支持的语言数 | 40+ | May 2026 | Semgrep 文档 | 高 | SAST 市场中语言覆盖最广;是多语言技术栈组织的关键差异化优势 | GA 与 beta/实验性语言的质量差异显著 |
| ARR(估计) | ~$33.6M | Sept 2025 | Latka(众包,未审计) | 低 | 暗示在典型 ACV 下有 100–400 个企业账户或等量 Teams/Enterprise 组合 | 未经核实;无客户数或 ACV 细分数据 |
| G2 评价 / 评分 | 30+ 条评价,平均 4.5/5 | 2026 年初 | G2.com | 中 | 开发者满意度信号;与 PLG 社区优先定位一致 | 评价样本量小;倾向于主动评价的满意用户存在选择性偏差 |
| 员工数 | 257 | March 2026 | Tracxn | 中 | D 轮后人员从 210 人(2025 年 9 月)增至 257 人(2026 年 3 月);显示 GTM 和研发持续投入 | 人员增长不能证实 ARR 增长;若 ARR 停滞,人效比正在下降 |
公开牵引力指标来自公司自述或公开可见数据。营收代理估计由作者推算。所有置信度标注为低或中的指标需管理层核实。
[CU006, CU007, CU008, CU009, CU010]"活跃 CE 扫描用户"以下的所有漏斗数值均为作者参考 ARR 及典型 PLG 转化基准推算所得。实际客户数量未予披露。上述数字仅供示意。
6.3 具名客户证据
Semgrep 已为多个知名组织发布了具名客户参考案例和案例研究博客文章。证据质量因客户而异: **Figma:** 公开博客文章和 Semgrep 落地页参考案例证实,Figma 工程团队在 SAST 规模化部署中生产级使用 Semgrep Code。 Figma 有 150 名以上的工程师,使用 Semgrep 在 CI/CD 中执行自定义安全规则,规则由其安全团队编写。这是高质量企业参考 案例——生产级部署、自定义规则编写、工程团队特定成果一应俱全。 **Dropbox:** Semgrep 发布了关于 Dropbox 使用 Semgrep 进行开发者主导安全修复的案例研究。Dropbox 是大型工程组织 (1,000 余名工程师),使用 Semgrep 在不等比例扩充安全团队的情况下扩大安全审查覆盖面。参考案例质量高。 **GitLab:** GitLab 既是竞争对手(提供原生 CI/CD 和 SAST),也是客户——GitLab 在 OEM/集成安排下将 Semgrep CE 规则 嵌入 GitLab Ultimate 的 SAST 扫描器。这代表一种"合作即分发"的动态。GitLab 嵌入 Semgrep 规则验证了技术质量,但也 意味着 GitLab 可以随时切换规则引擎。 **Snowflake:** 列于 Semgrep 客户页面;截至 2026 年 5 月,尚无详细案例研究发布。Snowflake 拥有大型工程团队和复杂 代码库;该参考案例暗示企业级部署。 **HashiCorp:** 列于 Semgrep 客户页面;博客文章中提及 HashiCorp 工程师贡献社区规则。这是开发者社区参与,而非直接 商业参考。 **Slack(已被 Salesforce 收购):** 具名客户;Slack 工程团队在 Salesforce 收购前采用 Semgrep 进行自定义规则执行。 参考案例的时效性存疑(收购后 Slack 工程组织的工具链可能已有变化)。 **Shopify:** 列于 Semgrep 客户页面;Shopify 拥有规模可观的安全工程团队。无详细案例研究;参考案例表明企业级部署。 [CU012, CU013, CU014, CU015, CU016, CU017]
| 客户 | 细分市场 / 行业 | 部署 / 使用场景 | 生产 vs 试点 | 成果证据 | 参考局限 |
|---|---|---|---|---|---|
| Figma | Enterprise——产品设计 SaaS;1,500 人以上 | Semgrep Code 集成 CI/CD;Figma 安全团队编写自定义 YAML 规则;在 PR 合并时强制执行 | 生产——全量 CI/CD 执行 | 安全团队编写自定义规则;在工程团队全面部署;具体规则类别记录于 Semgrep 案例研究 | 案例研究由 Semgrep 撰写;无独立第三方核实;案例未披露 Figma 工程团队规模 |
| Dropbox | Enterprise——文件存储 SaaS;2,000 人以上 | Semgrep Code 支持开发者主导的安全修复;无需增加人手即可扩展安全审查 | 生产——全组织部署 | Semgrep 博客案例记录"安全扩展无需人员扩张"的成果;具体指标(发现减少量、节省时间)未公开量化 | 案例由公司撰写;指标未经核实;Salesforce 收购 Dropbox 后,工具决策可能已变更 |
| Snowflake | Enterprise——云数据平台;5,000 人以上 | Semgrep Code;企业级 AppSec 计划 | 生产——从客户页面列表推断 | 列于 Semgrep 客户页面;无详细案例研究发布 | 无成果数据;仅为列名;Semgrep 客户页面更新后可能已变更 |
| HashiCorp | Enterprise——基础设施软件;2024 年被 IBM 收购;1,000 人以上 | Semgrep CE + Teams;向社区注册表贡献自定义规则 | 生产——活跃社区贡献者 | HashiCorp 工程师已向 Semgrep registry 贡献自定义规则;有生产使用的证据 | IBM 收购 HashiCorp 后可能调整 AppSec 工具策略;规则贡献可能来自个人,而非企业指令 |
| GitLab | OEM / 嵌入式;同时也是竞争对手 | Semgrep CE 规则嵌入 GitLab Ultimate SAST 扫描器(GitLab CI 原生扫描器) | 生产——嵌入 GitLab 产品 | GitLab 公开记录在 SAST 集成中使用 Semgrep 规则;印证技术质量在大规模场景下经得住检验 | 属合作关系,非直接商业 Enterprise 合同;GitLab 可在任意版本替换 Semgrep 规则;不构成 ARR 贡献参考 |
| Shopify | Enterprise——电商平台;10,000 人以上 | Semgrep Code;企业级部署 | 生产——从客户页面列表推断 | 列于 Semgrep 客户页面;无详细案例研究 | 无可用成果数据;仅为列名;超大型组织可能同时使用多种 SAST 工具 |
| Slack (Salesforce) | Enterprise——即时通讯 SaaS;2021 年被 Salesforce 收购 | Semgrep Code;在 CI/CD 流水线中强制执行自定义规则 | 生产——Salesforce 收购前的参考 | Slack 工程师在工程博客中公开讨论了使用 Semgrep 实施自定义安全规则的实践 | 参考案例早于 Salesforce 收购;收购后 AppSec 工具决策可能已变更;时效性不确定 |
所有案例研究均由 Semgrep 撰写或整理,独立核实有限。生产与试点状态由案例研究的措辞推断。
[CU012, CU013, CU014, CU015, CU016, CU017]证据质量评级为作者基于现有公开文档所作的主观评估。Semgrep 未发布标准化客户成果指标。
6.4 留存、持久性与满意度
Semgrep 未公开披露客户留存指标(净留存率 NRR、总留存率 GRR、流失率、续约率或队列数据)。以下所有估算均由作者基于 行业基准和行为信号推导: **企业档留存代理指标:** 采用 SSO/SAML、SCIM、Managed Scanning 和多年合同的企业客户,结构性切换成本较高。SAST 工具 一旦通过 Managed Scanning 覆盖组织全量仓库,安全团队若要切换,需重新配置 CI/CD、迁移发现历史、重新培训开发者习惯, 并对新工具进行合规再认证。这产生了类似其他开发者基础设施工具的自然黏性。企业档 GRR 估计:85–95%。 **Teams 档留存代理指标:** 自助 Teams 档客户切换成本较低——迁移只需更改 GitHub Actions 工作流文件并移动规则。但一旦 工程团队已自定义规则并将发现集成至 JIRA 工作流,切换摩擦也不可忽视。Teams 档 GRR 估计:70–85%。 **CE / 免费档留存:** CE 用户本就不贡献收入;CE"留存"(继续使用 Semgrep CE 而非迁移至 Opengrep)无法核实。2024 年 12 月的许可证变更可能加速了 CE 用户向 Opengrep 的流失。 **G2 满意度信号:** 30 余条评测平均 4.5/5,表明开发者满意度较高。常见正面主题:规则质量、规则编写便利性、CI 集成、 低摩擦。常见负面主题:大型代码库上 Pro Engine 扫描延迟、社区规则误报率、高级用例文档深度不足。 **NPS 代理指标:** Semgrep 未发布净推荐值(NPS)数据。持续的 G2 正面评测和活跃的社区规则贡献(3,000 余条社区规则) 表明开发者 NPS 超过 50,这与拥有强大 OSS 社区参与度的开发者工具的典型水平相符。 [CU019, CU020, CU021, CU022, CU023, CU024]
| 指标 | 数值 / 状态 | 细分市场 | 置信度 | 尽调要求 |
|---|---|---|---|---|
| 净收入留存率(NRR) | 未披露 | 所有层级 | none | 要求按细分(Teams vs. Enterprise)提供过去 12 个月 NRR;确认定义(扩张 / 收缩 / 流失) |
| 总收入留存率(GRR) | 未披露 | 所有层级 | none | 请求 GRR;确认在扩张收入到账前,名义 ARR 是否已呈下降 |
| 企业合同续约率 | 估计 85–95%(作者根据高切换成本及 SSO/Managed Scanning 粘性推算) | Enterprise | 低 | 请求续约率与加权平均合同期限;确认多年期合同占比 |
| Teams 层级续约率 | 估计 70–85%(作者根据较低切换成本及信用卡流失率推算) | Teams | 低 | 请求 Teams 层级月度流失率;区分非自愿流失(支付失败)与主动流失 |
| G2 客户评分 | 30+ 条评价均分 4.5/5 | 混合层级 | 中 | 独立参考信号;好评指向准确性与易用性,差评集中在误报率和扫描速度 |
| Gartner Peer Insights 评分 | 数据有限——截至 2025 年尚未进入 Gartner Magic Quadrant | Enterprise | 低 | Semgrep 未出现在 Gartner MQ AST 中;入选须经供应商申请,且需满足营收与客户参考资格门槛 |
| 开发者 NPS(替代指标) | 估计 50–70(拥有活跃开源社区的开发者工具通常得分较高) | CE + Teams | 低 | 无公开 NPS;社区活跃贡献(3,000+ 条规则)及 GitHub star 增长是 NPS 的正向替代指标 |
| Opengrep 对 CE 留存的影响 | 未知——可能存在实质影响 | CE 用户 | none | 请求 2024 年 12 月前后的 CE 下载趋势;对比 CE 活跃扫描量的月度变化 |
留存指标大多未公开披露,估算值由作者基于行业基准及行为信号分析推导。
[CU019, CU020, CU021, CU022, CU023]所有留存率均为作者估算的基准数据。Semgrep 未披露 NRR、GRR、流失率或队列数据。Enterprise 留存率参照具有 SSO/API 集成粘性的同类 开发者安全 SaaS 工具估算。Teams 留存率参照自助 B2B SaaS 基准估算(Benchmarkit 2025:月流失率中位数 1.5%–2%)。CE 留存率参照 OSS 工具活跃使用衰减模式估算。上述数字需依据管理层数据予以验证。
6.5 扩张动态与集中度风险
**扩张动作:** Semgrep 的土地扩张模式在两个层面运作:(1)在单一客户内,从 Code(SAST)扩展至 Supply Chain(SCA)再到 Secrets 再到 Assistant("广度扩张");(2)在单一客户内,随着更多开发者跨团队采用 Semgrep,贡献者席位数持续增加("席位 扩张")。两个杠杆无需新客户获取即可驱动收入增长。 典型企业扩张路径:一名安全工程师采用 Teams 档 → 向 3–5 个团队试点部署 → 通过 Managed Scanning 全企业部署 → 交叉 销售 Supply Chain 和 Secrets → 平台 ACV 达到初始合同的 2–4 倍。 **集中度风险:** 无客户收入集中度数据披露。基于具名客户群(Figma、Dropbox、Slack、Snowflake、HashiCorp、GitLab、Shopify),可寻址 客户群高度集中于拥有成熟安全项目和大规模工程人员的大市值科技公司。这意味着: - 前 10 名客户可能占 ARR 的 30–50%(估算,未经确认) - 在 3,360 万美元总 ARR 下,任何一家具名企业客户的流失都将产生实质影响 - 无证据显示渠道分销商(经销商、MSSP、市场平台)客户达到有意义的规模 **GitLab 集成的平台集中度风险:** GitLab 将 Semgrep 规则嵌入 GitLab Ultimate 的原生 SAST 扫描器。若 GitLab 切换到不同的规则引擎(如自建或使用 CodeQL/Sonar 规则),Semgrep 将失去一个间接分发渠道。这并非直接的收入依赖,而是社区/管道依赖。 **垂直行业集中度:** Semgrep 的公开客户参考集中于软件原生公司。扩张至受监管行业(金融服务、医疗保健、政府)需要 FedRAMP 授权、HIPAA BAA 或 Semgrep 尚未大规模提供的行业特定合规认证,限制了这些垂直市场的可及市场规模。 [CU025, CU026, CU027, CU028, CU029, CU030]
| 扩张驱动因素 / 风险因素 | 方向 | 估计影响 | 尽调路径 |
|---|---|---|---|
| 交叉销售:Code → Supply Chain → Secrets → Assistant | 扩张(正向) | 平台 ACV 达到初始 Code 合同的 2–4 倍;降低单客收入风险 | 请求产品附加率:Code 客户中有多少比例购买了 SC、Secrets 或 Assistant? |
| 席位扩张:客户招聘带动贡献者人数增长 | 扩张(正向) | 无需销售介入,ARR 自动增长;高增速科技公司中的普遍规律 | 请求各客户队列的年均贡献者人数增长率 |
| Managed Scanning 全企业部署 | 扩张(正向) | 从团队级采用推动至全企业部署;加速 ACV 台阶式增长 | 追踪从 Teams 试点到企业合同的转化周期;衡量 Managed Scanning 采用率 |
| 前 10 大客户收入集中度 | 风险(负向) | 估计前 10 大客户占 ARR 的 30–50%;在 ARR 为 3360 万美元的规模下,流失 1–2 家大客户影响显著 | 请求前 10 大客户占 ARR 的比例;确认多年期合同状态 |
| GitLab 嵌入规则依赖 | 风险(中度) | 一旦 GitLab 更换 SAST 引擎,Semgrep 将在 GitLab 体量下失去间接分发渠道 | 厘清 GitLab 与 Semgrep 规则合作的商业条款;评估切换可能性 |
| Opengrep 分叉导致 CE 流失 | 风险(负向) | CE 流失压缩漏斗顶端;对 Teams 和 Enterprise 管道产生复合影响 | 监测 Opengrep GitHub star 增长、下载量与 Semgrep CE 趋势的对比 |
| 行业集中于科技公司 | 风险(负向) | 暴露于科技行业招聘冻结、裁员或预算削减带来的开发者人数下降风险 | 请求 ARR 的行业分布;评估非科技行业的敞口 |
| 无渠道合作伙伴收入 | 风险(负向) | 未识别到 MSSP、VAR 或市场渠道;完全依赖直销 | 询问渠道策略是否已纳入 D 轮 GTM 扩张计划 |
风险影响估算由作者推导。集中度百分比在无客户数据披露的情况下属于推测。
[CU025, CU026, CU027, CU028, CU029, CU030]6.6 附录
07风险
7.1 风险概述与严重程度排序
Semgrep 处于企业安全软件、开源开发和 AI 驱动工具的交叉点——三个领域各自具有独特且相互叠加的风险特征。以下七类风险 按潜在投资影响从高到低排序: **1. 竞争商品化(关键):** GitHub Advanced Security(GHAS)+ Copilot Autofix 将 SAST 扫描和 AI 代码修复捆绑至 GitHub Enterprise 平台,对现有 GitHub Enterprise 客户零边际成本。Semgrep 的核心 Teams 档和 Semgrep Assistant 价值主张均可被直接替代。这一风险具有结构性且持续恶化:GitHub 的分发优势(5,000 万以上开发者)构建起非对称获客 护城河。 **2. 开源分叉 / 社区碎片化(高):** Opengrep 分叉(2025 年 1 月)直接威胁 Semgrep 的开发者获客漏斗。Opengrep 声称性能提升 3.15 倍,提供 CE 功能对等,并以 AGPLv3 许可(完全开放)发布。若 Opengrep 达到社区临界质量,新开发者 安装将优先选择 Opengrep CE,从顶部漏斗切断 Semgrep 的 PLG 管道。 **3. 财务不透明 / 资本风险(高):** 所有经营指标均未披露。以估算烧钱速度(400–700 万美元/月)对比估算现金存量 (5,000–9,000 万美元),E 轮融资窗口预计在 12–18 个月内开启。若 ARR 增长不够充分,在平估或下行估值下融资将成为 结构性风险,存在下行轮或战略压力风险。 **4. 许可证法律风险(中高):** 2024 年 12 月的许可证变更将 Semgrep CE 许可证从 LGPL-2.1 修改为专有的 Semgrep Open Source License(SOSL),限制竞争性商业用途。若此次过渡未符合 LGPL-2.1 再许可要求(通常需要所有版权贡献者的 同意),可能产生法律风险。截至目前尚无诉讼提起,但风险存在。 **5. 监管 / 合规风险(中):** FedRAMP 授权缺口阻断美国联邦市场。AI 辅助安全工具在 EU AI Act 下的义务尚不明确。 面向欧盟客户的 GDPR 数据驻留能力尚不完善。 **6. 运营 / 技术依赖风险(中):** Semgrep Assistant 对 LLM API 提供商(OpenAI/Anthropic)的依赖带来集中度和 定价风险。主要 CI/CD 集成对 GitHub API 的依赖带来平台风险。 **7. 关键人物 / 执行风险(中):** 联合创始人 Isaac Evans(CEO)和 Drew Dennison(CTO)是主要领导者,未披露任何 继任计划。D 轮 GTM 建设(已招募 VP Sales)对于一家工程主导型组织而言是全新的执行挑战。 [CR001, CR002, CR003, CR004, CR005]
热图评级为作者主观定性估计。可能性分类:低(低于 15%)、中等(15%–40%)、高(高于 40%)。投资影响分类反映对公司价值 / ARR 轨迹的估计下行风险。
7.2 法律、许可证与监管风险
**开源许可证变更法律风险:** 2024 年 12 月,Semgrep 将 CE 规则仓库的许可证从 LGPL-2.1 修改为 Semgrep Open Source License(SOSL)——一种限制 竞争性商业用途的专有许可证。LGPL-2.1 要求对衍生作品重新许可时须获得所有版权贡献者的同意。社区规则仓库收录了数千名 开发者在 LGPL-2.1 下的贡献;若任何贡献者对单方面重新许可提出异议,Semgrep 将面临潜在的 LGPL 侵权索赔。截至 2026 年 5 月尚无诉讼,但 Hacker News 和 GitHub Discussions 上的社区成员已对过渡流程提出具体法律质疑。 **IP 所有权与贡献者协议:** Semgrep 的社区贡献流程(通过 GitHub Pull Request)依赖隐性的"入站 = 出站"许可假设,而非对所有规则贡献者适用正式的 贡献者许可协议(CLA)。若 Semgrep 未针对 3,000 余条社区规则持有有效的 CLA,重新许可在法律上可能存在隐患。 **FedRAMP 授权缺口:** Semgrep 被归类为 FedRAMP Ready,但尚未获得授权。未获得 FedRAMP 授权(进行中或完整),Semgrep 不得用于美国联邦信息 系统,全面阻断美国联邦政府市场。FedRAMP 授权通常在获得 ATO(运营授权)担保后需要 12–24 个月完成。 **EU AI Act(潜在适用范围):** EU AI Act 于 2024 年 8 月生效,可能对影响软件开发的 AI 辅助代码扫描工具施加义务。Semgrep Assistant 的 AI 生成代码 修复可能被列为有限风险或通用 AI 条款,需进行透明度披露和文档记录。监管解释尚待确定;针对开发者工具 AI 的具体合规 义务未有定论。 **数据隐私——GDPR:** Semgrep 在尚未提供欧盟数据驻留的云基础设施上处理代码片段(包括代码注释或变量名中潜在的个人可识别开发者数据)。 GDPR 第 44 条对国际数据传输的限制要求使用标准合同条款(SCCs);Semgrep 的 DPA 已涵盖 SCCs,但欧盟数据驻留客户已将 数据传输延迟和合规清晰度列为采购关切。 [CR006, CR007, CR008, CR009, CR010]
| 规则 / 许可证 / 案件 | 司法管辖区 | 状态 | 可能性 | 严重程度 | 缓解措施 | 残余敞口 | 尽调路径 |
|---|---|---|---|---|---|---|---|
| Semgrep 开源许可证(SOSL)——2024 年 12 月 CE 许可证变更及 LGPL-2.1 重新许可合规性 | 美国(合同法 / 知识产权法) | 无正式诉讼;社区法律异议已在 GitHub Discussions 和 Hacker News 上提出 | 低至中 | 高——若贡献者群体提起 LGPL 违规索赔,将威胁公司存续 | Semgrep 已发布许可证变更说明,声称合规;未确认所有贡献者均签署 CLA | 若并非所有社区贡献者均签署符合 LGPL 的 CLA,重新许可在法律上存在敞口 | 请求 Semgrep 就 LGPL 重新许可提供法律意见;确认逾 3,000 名社区规则贡献者均有 CLA 覆盖 |
| FedRAMP 授权缺口——美国联邦政府市场受阻 | 美国联邦(FedRAMP) | FedRAMP Ready 状态——截至 2026 年 5 月,ATO 流程尚未完成 | N/A(监管要求) | 中——封锁 50 亿至逾 100 亿美元的联邦 AppSec 市场;对商业 SaaS 不构成生存威胁,但限制 TAM | 已获 FedRAMP Ready 状态;ATO 赞助流程正在推进 | 在赞助机构完成 3PAO 评估前(通常需 12–24 个月),无法取得 FedRAMP 授权 | 确认哪家联邦机构正在赞助 Semgrep 的 ATO;请求 FedRAMP 路线图时间表 |
| EU AI Act 合规——AI 辅助代码修复生成 | 欧盟 | EU AI Act 自 2024 年 8 月起生效;开发者工具 AI 的具体义务尚不明确 | 低至中 | 低至中——潜在的合规披露及文档义务 | 有限风险 AI 系统的透明度要求可能适用;代码安全工具预计不会被列为高风险 | EU AI Office 监管解释指引尚待发布;风险通过文档记录可控 | 持续关注 EU AI Act 针对开发者工具的指引;为 Semgrep Assistant 准备透明度披露文件 |
| GDPR 数据处理——代码片段传输至 Semgrep 云端及 LLM API | 欧盟 / 英国 | 合规——DPA 已发布;国际传输已有标准合同条款(SCC) | 低 | 中——违反 GDPR 第 44 条可能导致监管机构审查或罚款 | Semgrep DPA 中的标准合同条款已覆盖国际传输;欧盟数据驻留已在规划中,但尚未落地 | 欧盟数据驻留上线前,GDPR 严格合规的企业客户可能限制代码片段传输范围 | 确认 Semgrep DPA 中列明了哪些第三方 LLM API 次处理方;核实欧盟客户的 SCC 合规情况 |
| 知识产权侵权风险——第三方针对 Pro Engine 数据流分析的专利主张 | 美国 / 全球 | 无已知专利纠纷;Semgrep 无公开披露的专利组合 | 低 | 中——若资金雄厚的竞争对手就 Semgrep 使用的过程间数据流分析技术申请专利保护 | 静态分析数据流方法现有技术丰富(Bell Labs、Carnegie Mellon、MIT);专利清除风险低但非零 | 当前无知识产权诉讼风险;持续监测竞争对手专利申请(Snyk、Checkmarx、GHAS) | 请求对 Pro Engine 方法进行知识产权尽调;确认自由实施(FTO)分析已完成 |
风险登记册基于公开法律分析、监管文件及社区论坛。非公开诉讼、监管调查或知识产权冲突可能存在,但未被识别。
[CR006, CR007, CR008, CR009, CR010]7.3 运营、安全与技术风险
**LLM API 依赖(Semgrep Assistant):** Semgrep Assistant 依赖第三方 LLM API(OpenAI 或 Anthropic)进行 AI 分类和代码修复生成。这带来三项独立风险: (1)定价风险——LLM 推理成本可能大幅上涨;(2)可用性风险——LLM API 中断或限速直接影响 Semgrep Assistant 功能; (3)数据风险——向第三方 LLM 传输代码片段可能违反企业数据安全策略,产生额外采购障碍。 **GitHub API 依赖:** Semgrep 的主要 CI/CD 集成依赖 GitHub Actions 和 GitHub App(用于 Managed Scanning)。GitHub 历来保持向后兼容,但 GitHub Actions 运行环境、API 认证或 Webhook 推送的任何变更都可能中断客户扫描。GitHub 还通过 GHAS 与 Semgrep 形成 竞争关系。 **云基础设施集中度:** Semgrep 的云平台托管于单一云服务商(AWS 或 GCP,未经确认)。若主要云服务商发生重大中断,Semgrep AppSec 平台的 可用性将受损,包括发现管理、策略执行和 Managed Scanning 编排。 **Semgrep 扫描管道自身的安全性:** Semgrep 分析来自客户仓库的代码。针对 Semgrep 扫描器的供应链攻击(恶意规则注入 Pro 规则仓库)可能危及客户的 CI/CD 管道。Semgrep 的规则签名和分发安全性尚未经过独立审计。 **扫描结果数据完整性:** 漏报漏洞(Semgrep 未能检测到的安全缺陷)构成运营责任。若某 Semgrep 客户因 Semgrep Pro 规则本应检测到的漏洞类别而 遭受安全漏洞,声誉和潜在法律(过失/保修)风险可能相当严重。 **大型代码库的性能退化:** Opengrep 的 3.15 倍性能声明(全仓库基准测试)表明 Semgrep CE 扫描引擎积累了技术债务。对于拥有超过 1 亿行代码单体 仓库的企业客户,扫描时间过长将增加 CI/CD 周期时间,降低开发者体验质量,并成为对性能敏感组织的采购异议。 [CR011, CR012, CR013, CR014, CR015]
| 失效模式 | 可能性 | 严重程度 | 缓解成熟度 | 残余敞口 | 未解决缺口 |
|---|---|---|---|---|---|
| Semgrep 云平台中断——AppSec 仪表板及 Managed Scanning 不可用 | 低(隐含 99.9% SLA) | 中——中断期间发现管理及新扫描触发受损 | 高——99.9% Enterprise SLA;status.semgrep.dev 监控;可能具备多区域备份 | 中断低于 1 小时为低;影响企业合规窗口的长时间中断为中 | Enterprise 无本地部署选项;完全依赖云端 |
| LLM API(OpenAI/Anthropic)中断——Semgrep Assistant 不可用 | 中(LLM API 会定期出现中断) | 低至中——AI 分类功能降级;核心扫描结果不受影响 | 低——无已确认的多 LLM 回退;Assistant 功能是增强型分类,而非核心扫描 | LLM 长时间中断期间,Semgrep Assistant 功能不可用;企业客户可能提出 SLA 质疑 | 无已披露的多供应商 LLM 回退或本地 LLM 选项 |
| 恶意规则注入 Pro 规则注册表——通过规则更新发起供应链攻击 | 极低 | 高——恶意规则可在客户 CI/CD 流水线中执行任意代码 | 中——存在规则签名和代码审查流程;具体细节未经公开审计 | 概率极低,一旦发生影响极大;将从根本上损害客户信任 | 无已发布的规则注册表安全第三方审计;规则签名架构未公开记录 |
| 漏报漏洞——Semgrep 未能检测到客户代码库中被利用的安全缺陷 | 中(静态分析的固有局限) | 中至高——若因未检测到的漏洞类别导致客户遭受攻击,将产生声誉及潜在法律敞口 | 中——Semgrep 公布 CWE 覆盖范围;局限性已记录;未保证检测全面 | Semgrep 的责任受合同条款限制;高关注度漏报带来的声誉敞口是真实存在的 | Pro 规则无独立 FP/FN 率基准;局限性未经独立审计 |
| Pro Engine 大规模扫描性能退化——大型代码库扫描超时 | 中(Opengrep 基准测试显示存在性能差距) | 中——扫描时间过长造成 CI/CD 摩擦;开发者抗拒在关键流水线中启用 Semgrep | 中——增量扫描优化持续进行;Opengrep 分叉凸显性能差距 | 面向客户的 Enterprise 扫描性能 SLA 未公开;若扫描拖慢 CI 周期,企业客户可能降低 Semgrep 的优先级 | 无已发布的企业规模(1 亿行以上代码)Pro Engine 性能基准 |
风险评级由作者根据现有运营数据评估。可能性评级(低/中/高)为定性判断。缓解成熟度评级衡量现有控制措施的深度。
[CR011, CR012, CR013, CR014, CR015]依赖关系基于公开文档及产品架构分析。LLM 提供商尚未确认;根据现有信号,OpenAI 最为可能。
7.4 合作伙伴与依赖风险
**GitHub 平台风险(结构性):** Semgrep 的 GTM 依赖 GitHub 作为客户群的主要代码托管平台。GitHub 掌控 CI/CD 管道集成界面(GitHub Actions)、PR 评论界面(Semgrep 在此发布发现)、仓库权限模型(Managed Scanning 所需),以及竞争产品(GHAS + Copilot Autofix)。 GitHub 可能限制第三方安全工具的 API 访问、更改 GitHub App 权限范围,或收紧 Actions 运行器安全策略,进而损害 Semgrep 的功能。 **Opengrep 作为社区替代:** Opengrep 既是竞争风险,也是依赖风险。作为一个分叉项目,它依赖持续的社区投入来维持 OSS 引擎质量。若 Opengrep 吸引 了大量投资或企业支持(如某大型科技厂商将 Opengrep 作为免费社区工具进行赞助),对 Semgrep PLG 漏斗的竞争压力将急剧 加大。 **LLM 提供商依赖:** 若 OpenAI 或 Anthropic 更改 API 定价、服务条款或访问策略,Semgrep Assistant 的功能经济性将发生实质变化。在 LLM 提供商之间迁移(如 OpenAI → Anthropic → Google Gemini)需要重新提示、重新评估和重新认证修复质量,产生切换延迟。 **NVD/CVE 数据源依赖(Supply Chain):** Semgrep Supply Chain 依赖 NIST NVD 和 GitHub Advisory Database 获取漏洞数据。NVD 曾出现处理积压(2024 年有文献 记录:2024 年发布的 93% CVE 未在 30 天内完成 NVD 分析)。若这些数据质量退化持续存在,Semgrep Supply Chain 的 可达性分析将滞后于威胁态势,损害产品的商业价值主张。 **客户集中度风险:** 估计前 10 名客户占总 ARR 的 30–50%。2–3 家具名企业账户(Figma、Dropbox、Snowflake)流失将代表 ARR 的实质性下降。 各客户的多年合同状态尚未得到确认。 [CR016, CR017, CR018, CR019, CR020]
| 依赖 | 对手方 | 角色 | 集中度 | 失效场景 | 严重程度 | 缓解措施 | 残余敞口 |
|---|---|---|---|---|---|---|---|
| GitHub API 与 GitHub Actions | GitHub(Microsoft) | 主要 CI/CD 集成接口;通过 GitHub App 实现 Managed Scanning;PR 评论发布;webhook 推送 | 极高——大多数 Semgrep 客户以 GitHub 为主要代码托管平台 | GitHub 限制第三方 GitHub App 权限、更改 Actions runner 安全策略,或推出要求企业客户禁用第三方扫描器的 GHAS 功能 | 高——任何限制都将实质性损害 Semgrep 的主要产品交付渠道 | Semgrep 支持 GitLab、Bitbucket、Azure DevOps 作为替代 VCS 集成;多 VCS 覆盖降低但未消除集中度 | 持续监测 GitHub API 服务条款及 GitHub Actions 安全策略变更;为不希望使用 GitHub App 的客户开发无 API 本地扫描模式 |
| OpenAI / Anthropic LLM API(Assistant 依赖) | OpenAI 或 Anthropic(未确认) | Semgrep Assistant 的 AI 分类与代码修复生成 | 高——所有 Assistant 功能依赖单一 LLM 供应商 | LLM 供应商大幅提高 API 定价、变更数据处理条款,或限制开发者工具用例的访问 | 中——Assistant 功能受损;LLM 成本上升将压缩毛利率;企业数据政策可能阻断 LLM API 数据传输 | 无已确认的多供应商回退;缓解成熟度低 | 长期:为隔离网络企业客户投入本地 / 私有化 LLM 选项;就多年期 API 定价进行谈判 |
| NIST NVD + GitHub Advisory Database(CVE 数据源) | NIST(美国政府)+ GitHub | Supply Chain 可达性分析的 CVE 数据源 | 高——Supply Chain 无已确认的替代 CVE 数据源 | NVD 积压加剧;GitHub Advisory 数据库对非开源安全公告的覆盖存在缺口 | 中——Supply Chain 可达性分析质量下降;SCA 产品价值主张受损 | 缓解程度低——无已确认的自有 CVE 数据库;依赖公共数据源 | 自建或购买自有 CVE 数据库授权;与商业威胁情报供应商合作 |
| Opengrep 社区(负向依赖) | Opengrep(开源社区 / 未披露赞助方) | CE 层级的竞争性替代品;社区规则贡献的替代选择 | 高——Opengrep 已有 2,100+ star,开发活跃 | Opengrep 达到社区临界规模(10,000+ star,重要企业赞助商入场);新开发者安装迁移至 Opengrep; Semgrep PLG 漏斗停滞 | 高——漏斗顶端 CE 采用是主要增长杠杆;结构性损害虽缓慢但具复合效应 | Semgrep Pro Engine 护城河(自研数据流)及 20,000+ Pro 规则无法被 Opengrep CE 复制;企业功能形成切换成本 | 每季度监测 Opengrep 仓库增长、PR 速度及企业赞助方公告 |
| 资本方(Menlo、Lightspeed、Sequoia) | Menlo Ventures、Lightspeed、Redpoint、Sequoia、Felicis、Harpoon 等资本方 | E 轮融资依赖;董事会治理;投资者网络提供企业客户引荐 | 高——100% 股权融资;无已确认的风险债务兜底 | VC 市场恶化;ARR 增长不及预期;E 轮以低估值成交,员工及早期投资者面临稀释 | 中——自 2026 年 5 月起现金跑道估计为 12–18 个月;若增长停滞,融资风险为真实存在 | D 轮投资者关系深厚,具有领投及跟投记录 | 持续监测宏观 VC 市场状况;追踪开发者安全领域 E 轮可比估值 |
依赖风险由作者评估。合作条款、API 合同细节及投资者参与规范均未公开披露。
[CR016, CR017, CR018, CR019, CR020]风险传导路径为作者评估所得。实际风险相互依赖关系可能因市场条件和管理层应对措施而有所不同。
7.5 人员与执行风险
**关键人物依赖——联合创始人:** Isaac Evans(CEO)和 Drew Dennison(CTO)是核心技术和商业领导者。未公开命名继任计划、副 CEO 或 COO。任一联合 创始人的离职都将对公司技术路线图和投资者关系造成重大影响。两人都是公司公众形象的活跃贡献者(博客文章、会议演讲、 媒体采访)。 **企业 GTM 执行风险:** Semgrep 于 2025 年初作为 D 轮 GTM 投资的一部分招募了 Garrett Souza 担任 VP Sales。将企业直销职能从接近零发展至 5,000 万美元以上 ARR,需要:(1)招募具备 SAST/AppSec 领域专业知识的企业客户主管;(2)建立 SDR 和市场营销运营; (3)开发企业采购流程(安全问卷回应、法律合同模板、续约基础设施)。对于工程主导的 PLG 公司而言,这是公认的艰难 组织转型;执行失败通常在 VP Sales 招募后 12–18 个月体现为 ARR 停滞。 **OCaml 工程师人才竞争:** Semgrep 的核心分析引擎以 OCaml 编写,这是一种人才池有限的专业函数式编程语言。OCaml 工程师薪酬溢价,被 Jane Street、 Meta(Hack 编译器)等专业雇主争相招募。Semgrep 维护和扩展 Pro Engine 的能力依赖于这一狭窄的专业招聘池。 **从工程主导型向企业销售型组织的文化转型:** Semgrep 的创立文化以工程为先、社区为先。转向企业直销需要招募激励结构和文化规范可能截然不同的销售、市场营销和客户 成功人员。在保持工程质量的同时管理这一转型,是公认的执行挑战。 [CR021, CR022, CR023, CR024, CR025]
| 角色 / 职能 | 依赖或缺口 | 可能性 | 严重程度 | 缓解措施 | 尽调路径 |
|---|---|---|---|---|---|
| Isaac Evans——首席执行官及联合创始人 | 核心商业与战略领导者;投资者关系持有人;公司对外形象代表 | 低——成长期公司中积极参与的 CEO | 高——离职将引发投资者担忧、商业不确定性及战略断层 | D 轮投资者对董事会有信心;联合创始人归属计划可能仍在执行中 | 确认 CEO 归属时间表及留任激励;确认关键商业职位的副总裁级继任计划 |
| Drew Dennison——首席技术官及联合创始人 | 核心 OCaml Pro Engine 架构师;技术产品方向负责人;学术研究合作联络人 | 低——成长期活跃的技术型 CTO | 高——失去 Pro Engine 首席技术架构师将损害路线图推进速度 | Semgrep 拥有约 150 人(估计)的工程团队,产品知识深厚;运营上非单点故障,但战略上不可或缺 | 评估技术团队深度;确认联合创始人之外的 Pro Engine 核心工程师;评估工程组织架构图 |
| Garrett Souza——销售副总裁(2025 年入职) | 从近零起步搭建企业直销职能,目标 ARR 超 5000 万美元 | 中——企业 GTM 执行对以工程为主导的公司风险较高;首个完整年度业绩决定可行性 | 中至高——若企业销售职能未能达速,ARR 增长停滞,E 轮投资逻辑崩塌 | 低至中——VP Sales 入职是积极信号,但在 Semgrep 的执行记录尚未验证 | 回顾 Garrett Souza 在同类开发者安全公司的销售爬坡历史;请求企业 AE 人员计划及直销 2025 年 Q1/Q2 新增 ARR |
| OCaml 工程人才池 | Pro Engine 需要 OCaml 专长;全球人才池极为有限 | 中——OCaml 工程师稀缺,受到 Jane Street、Meta 及其他金融 / 科技雇主的争抢 | 中——若 Semgrep 无法招募或留住 OCaml 工程师,Pro Engine 迭代速度将下降 | Semgrep 拥有强大的开源社区品牌,对 OCaml 开发者具有吸引力;需提供有竞争力的薪酬 | 请求 OCaml 工程师人数及流失率;确认 Pro Engine 团队除 OCaml 外是否使用其他编程语言 |
| 客户成功 / 实施 | 大规模企业 Managed Scanning 部署需要实施支持 | 中——客户成功团队容量限制可能影响企业部署速度 | 低至中——部署延迟降低 NRR 和续约质量 | Managed Scanning 自动化减少 CS 手工负担;Semgrep 以工程为主导的支持模式在企业规模下可能存在容量缺口 | 请求客户成功团队人数及客户与 CS 人员比率;评估当前企业客户中 Managed Scanning 自动化与手工配置的比例 |
关键人物风险是成长期公司的固有属性。缓解评估为定性判断。
[CR021, CR022, CR023, CR024, CR025]7.6 风险缓解措施、监控触发器与投资逻辑破坏事件
**现有风险缓解措施:** - SOC 2 Type II 认证应对企业安全异议 - GDPR DPA 和隐私文档应对欧盟客户采购要求 - FedRAMP Ready 状态提供授权路径(阻断联邦销售,但不妨碍企业商业) - Managed Scanning 降低企业部署摩擦(应对运营风险) - Pro Engine 差异化(跨文件数据流)相较于简单模式匹配竞品提供技术护城河 - 1 亿美元 D 轮融资提供至少 12–18 个月的跑道,缓解资本风险 **投资逻辑破坏触发器(若发生任何一项,投资者应退出或实质性折价仓位):** 1. GitHub 宣布面向所有 GitHub Enterprise 客户降低 GHAS 价格或实现与 Semgrep Code 的功能对等——将直接蚕食企业 SAST 市场 2. Semgrep ARR 确认低于 2,500 万美元或同比增长低于 20%——意味着 PLG 增长停滞论点得到证实 3. 因 2024 年 12 月许可证变更向 Semgrep 提起 LGPL-2.1 版权侵权诉讼——将产生生存性法律风险 4. 两家或以上具名企业客户公开流失至竞品——将发出产品市场契合度侵蚀信号 5. Opengrep 达到 20,000 个以上 GitHub 星标,或主要风险投资机构/企业赞助商宣布支持 Opengrep——将加速 CE 漏斗流失 **监控指标(季度审查):** - semgrep/semgrep 和 opengrep/opengrep 仓库的 GitHub 星标增长率 - G2 和 Gartner Peer Insights 评分趋势 - Semgrep 职位发布(按职能)作为收入增长投入的代理指标 - GHAS 定价及功能公告 - Latka ARR 估算更新 - FedRAMP 市场列表状态 [CR026, CR027, CR028, CR029, CR030]
| 风险 | 可监测触发条件 | 阈值 / 事件 | 行动含义 |
|---|---|---|---|
| 竞争性商品化(GHAS + Copilot Autofix) | GitHub Enterprise SAST 功能公告;GHAS 定价变化;Semgrep 赢单 / 输单数据 | GitHub 宣布所有 GitHub Enterprise 方案均免费内含 SAST + AI 分类功能 | 退出或大幅折价持仓;若零成本替代品部署至 Semgrep 核心市场,投资逻辑从结构上破裂 |
| Opengrep CE 采用量超过 Semgrep CE | GitHub star:opengrep/opengrep vs. semgrep/semgrep;社区规则贡献速度 | Opengrep 达到 20,000+ star 或获得已公告的企业赞助(>500 万美元) | 向 Semgrep 管理层施压,要求回应 CE 策略;评估 Semgrep 的 PLG 漏斗逻辑是否仍然成立 |
| ARR 增长停滞 | Latka ARR 估算更新;Semgrep 招聘发布速度;公开客户公告 | 下次 Latka 更新时 ARR 估算低于 3500 万美元(意味着停滞)或同比增速低于 20% | 提升尽调紧迫性;在任何投资决策前请求管理层提供 ARR 变动明细 |
| LGPL 版权诉讼 | 法院文件(PACER);GitHub 上的社区法律升级信号 | 社区贡献者就版权侵权对 Semgrep 提起诉讼 | 机构投资的潜在阻断事件;立即请求法律意见 |
| CEO 或 CTO 离职 | LinkedIn、新闻报道、公司博客 | Isaac Evans 或 Drew Dennison 宣布离职 | 暂停投资流程;与新任领导层重新评估投资逻辑 |
| 融资条件恶化 | VC 市场状况;同类公司下轮估值;Semgrep E 轮意向书时间 | D 轮后 18 个月内(即 2026 年 8 月前)未收到 E 轮意向书 | 监测现金状况;请求管理层就融资进展进行更新;评估二级市场流动性选项 |
| 企业客户流失 | 公开案例删除;G2/Gartner 评价趋势;已知名客户的招聘变化 | 两家或以上已知名企业客户公开宣布切换至 GHAS、Snyk 或 Checkmarx | 投资逻辑实质受损;请求管理层提供客户流失数据 |
终止标准专属于特定投资逻辑,代表作者判断。阈值为参考性指标;实际监测应根据投资者的具体持仓规模及投资逻辑调整。
[CR026, CR027, CR028, CR029, CR030]7.7 附录
08估值
8.1 投资建议与信心水平
**建议:有条件兴趣——待数据室确认后跟进** Semgrep 是一家处于投资级市场的投资级公司,产品技术差异化明显,开发者品牌强劲。投资逻辑**并未从根本上 失效**,但在缺乏数据室准入的情况下,**当前信息质量不足以支撑行动**,须确认以下事项: 1. 当前 ARR 及同比增速($33.6M 估算已有 9 个月之久,来源于众包) 2. 净留存率(NRR)及各层级(Teams vs. Enterprise)的客户队列留存 3. 实际烧钱速度、现金跑道及 E 轮时间线 缺乏上述三项确认,高信心买入建议无法成立。一旦获得,建议或升级至**有条件买入**(若 NRR > 120% 且 ARR 增速 > 60%),或降级至**放弃**(若 NRR < 100% 且增速 < 30%)。 **信心水平:中** —— 财务表现存在实质性证据缺口(所有指标均未披露),不支持高信心建议。 **风险评级:偏高** —— 竞争商品化(GHAS)、Opengrep fork、资本依赖及关键人物风险同时存在;目前 不急迫,但须主动监测。 **估值立场:若 ARR 年增速 > 50%,当前估值看来合理** —— 以 $33.6M ARR、50–80% 同比增速估算, D 轮估值 $400–750M(12–22x ARR)在开发者安全可比公司范围内。ARR 增速降至 20–30% 则估值偏高; 超 80% 则偏低。 [CV001, CV002, CV003, CV004, CV005]
| 维度 | 评估 | 依据 |
|---|---|---|
| 建议 | 有条件关注——数据室确认后投资 | 投资逻辑具备投资级质量;证据缺口使得在 NRR、ARR 及烧钱率确认前无法高确信度建仓 |
| 信心 | 中 | 产品与市场证据充分;财务表现完全未披露 |
| 风险评级 | 偏高 | GHAS 商品化 + Opengrep 分叉 + 资本依赖 + 关键人物集中——多重风险同时存在 |
| 估值立场 | ARR 增速超 50% 时合理;ARR 增速低于 30% 时偏高 | D 轮投后估值估计为 4–7.5 亿美元,相当于 ARR 的 12–22 倍;开发者安全可比公司支持 60%+ 增速公司 15–25 倍估值 |
| 决策含义 | 请求数据室访问权限;以 NRR > 110%、ARR 增速 > 50%、CLA 法律清关及融资跑道 > 18 个月为条件 | 投资需满足:(1)NRR 确认;(2)ARR 确认;(3)LGPL 法律清关;(4)烧钱率及跑道确认 |
建议基于作者对 8 章内容的分析。因财务指标未披露,信心水平为中。
[CV001, CV002, CV003]该流程代表从证据到投资建议的逻辑链。并非正式评分模型。
KPI 评分由作者按 1–10 分制对各投资维度进行评估,并非正式评分模型。
8.2 投资逻辑与反向逻辑
**投资逻辑(乐观):** Semgrep 是唯一将开发者体验(最快扫描配置、最低摩擦部署)、技术精度(Pro Engine 过程间数据流分析) 与产品宽度(SAST + SCA + Secrets + AI 分诊)整合于单一开发者原生平台的企业 AppSec 产品,定价 $30/贡献者/月。随着 AppSec 市场从 $8.6B 增长至 2030 年 $25B+,Semgrep 有望抢占企业开发者安全预算—— 这部分预算要求比 GHAS 原生 SAST 更高精度,同时成本低于 Snyk(企业版 $65–80K+/年)或 Checkmarx (遗留版 $100K+/年)。PLG → 企业版路径(CE 免费 → Teams → Enterprise → 多产品)构建了复利式客户 获取引擎,一旦企业直销能力成熟,有望在 24–36 个月内突破 $100M ARR。 **反向逻辑(悲观):** GitHub 的结构性分发优势意味着,一旦 GHAS + Copilot Autofix 在功能上追平 Semgrep Teams, GitHub Enterprise 客户将默认选择前者——这是"何时"而非"是否"的问题。与此同时,Opengrep fork 削弱了 Semgrep 历来依赖的 PLG 转化渠道——CE 开发者漏斗。没有独立的顶部漏斗,也没有分发护城河, Semgrep 只是一个拥有 $33M ARR、D 轮后估值 $400–750M 的细分企业 AppSec 供应商,隐含 12–22x ARR 倍数——若增长停滞,回报前景颇具挑战。投资逻辑依赖一系列有利条件同时成立(ARR 快速增长 + GHAS 无法 实现功能对等 + Opengrep 无法获得临界规模),而任一条件均缺乏强有力的反驳证据支撑。 [CV006, CV007, CV008, CV009, CV010]
| 维度 | 投资逻辑(乐观) | 反向逻辑(悲观) | 何种情况会改变判断 |
|---|---|---|---|
| 市场地位 | 开发者原生 AppSec 平台,目标市场从 $8.6B 扩至 $25B+;唯一将 SAST+SCA+Secrets+AI 整合、且定价对开发者友好的产品 | 在 GitHub、Snyk、Checkmarx 整合市场的背景下仍是小众工具;相较平台捆绑销售商,分发能力明显不足 | ARR 同比增速超过 60% 可上调判断;ARR 停滞则坐实反向逻辑 |
| 产品护城河 | Pro Engine 跨文件数据流分析及 20,000+ 条 Pro 规则,GHAS 与 Opengrep CE 均不具备;技术领先优势约 3–5 年 | 凭借 $2T 市值背书,Microsoft 持续投入 GHAS,迟早追平功能差距;Opengrep 社区也在蚕食开源护城河 | 一旦 GitHub 宣布 GHAS 支持跨文件 SAST,护城河逻辑将受到实质性损害 |
| 市场拓展 | PLG 路径从 CE 拉升至 Teams,再到 Enterprise;年扫描量超 7500 万次,形成滚雪球式获客引擎 | 2024 年 12 月授权变更将 PLG 漏斗引向 Opengrep;直销企业的能力对该团队而言尚未得到验证 | Opengrep 分叉后的 CE 扫描量走势(需管理层提供)是关键信号 |
| 财务健康 | Menlo 领投 $100M D 轮,顶级投资方背书,暗示投资人信心充足;现金跑道缓冲约 12–18 个月 | ARR 数据不透明,无法核实;核心 SaaS 指标均未披露,买方无从准确定价风险 | 数据室披露 NRR + ARR + 烧钱速度可证实逻辑;持续不透明即放弃信号 |
| 竞争格局 | Semgrep 误报率低、开发者体验佳,构成持久的产品优势 | 企业安全买方高度看重分析师认可(Gartner MQ),而 Semgrep 尚未入榜 | 进入 Gartner MQ 并确认 NRR 数据,可消除这一不确定性 |
投资逻辑与反向逻辑均为作者判断;实际结果取决于尚未经确认的私有公司数据。
[CV006, CV007, CV008, CV009]8.3 乐观 / 基准 / 悲观情景
**乐观情景(概率 20–25%):** ARR 以 70–80% CAGR 增长,2027 年突破 $100M,2028 年达 $180M+。NRR 超过 120%,表明多产品交叉销售 (Code + SC + Secrets + Assistant)扩张势头强劲。企业直销团队 2026 年前扩展至 50+ 名 AE。 2026–2027 年完成 E 轮,估值 $1B+。通过 IPO 或战略并购(Google、Microsoft Azure、JetBrains、 Palo Alto Networks)以 $1.5–3B 退出,时间窗口 2027–2029 年。D 轮投资者回报:已投资本 2–4 倍。 **基准情景(概率 50–55%):** ARR 以 40–60% CAGR 增长,2027 年达 $70M,2028 年达 $120M。NRR 为 105–115%,扩张温和。企业直销 团队扩展至 20–30 名 AE。2027 年完成 E 轮,估值 $500–800M。通过战略并购(Palo Alto、 Broadcom/Symantec、Rapid7、Qualys)以 $600M–$1.2B 退出,时间窗口 2028–2030 年。D 轮投资者回报: 按当前价格计 0.8–1.5 倍已投资本,具体取决于 E 轮稀释幅度。 **悲观情景(概率 20–30%):** Opengrep fork 压缩 CE 顶部漏斗,企业客户采纳 GHAS 冲击企业销售管道,ARR 增速停滞在 30% 以下。 NRR 跌破 105%,出现客户流失或合同收缩。E 轮融资在持平或下行估值区间完成($300–500M)。公司被 安全行业并购方(Broadcom、Tenable、HCL)战略收购,或以 $200–350M 进行战略重组。D 轮投资者回报: 已投资本 0.2–0.5 倍,叠加大幅优先股超额稀释。 NRR 是核心摆动因素:NRR > 120%,基准情景升格为乐观;NRR < 105%,基准情景降格为悲观。这一目前 未披露的单一指标,是确认投资逻辑最重要的数据点。 [CV011, CV012, CV013, CV014, CV015]
| 情景 | 核心假设 | ARR 2027E | 估值区间 | 退出时机 / 路径 | D 轮回报(估) | 概率信号 |
|---|---|---|---|---|---|---|
| 乐观 | ARR CAGR 70–80%;NRR 120%+;GHAS 无法追平 Pro Engine;Opengrep 维持小众;2026–2027 年 E 轮估值超 $1B | $100–120M | $1.5–3B(退出时 ARR 15–25 倍) | IPO 或战略并购,2027–2029 年 | 2–4x | 数据室显示 NRR > 120% 且 ARR 增速 > 70% |
| 基准 | ARR CAGR 40–60%;NRR 105–115%;部分客户转向 GHAS;Opengrep 扩张但未主导市场;2027 年 E 轮估值 $500–800M | $70–90M | $600M–$1.2B(退出时 ARR 8–15 倍) | 战略并购,2028–2030 年 | 0.8–1.5x | NRR 105–115% 且 ARR 增速 40–60%;当前基准情景 |
| 悲观 | ARR 增速跌破 30%;NRR < 105%;Opengrep 达到临界规模;GHAS 损害企业销售管道;E 轮估值下调至 $300–500M | $40–50M | $200–350M(困境退出或资本重组,ARR 5–8 倍) | 战略出售或 PE 资本重组,2026–2028 年 | 0.2–0.5x | 数据室显示 ARR 增速 < 30% 或 NRR < 105% |
概率估计为作者判断;实际概率取决于数据室确认结果。估值为情景预测,不构成保证。
[CV011, CV012, CV013]所有估值均为基于可比交易及作者判断的情景估计,不构成投资建议。实际结果可能与估计存在重大偏差。
8.4 可比公司集与估值背景
**开发者安全公开/私有可比公司:** Snyk 是最接近的公开可比公司:ARR $350M+(2024 年估算),估值 $7.4B(2024 年二级市场),隐含约 21 倍前瞻 ARR。Snyk 在 $200M+ ARR 时 NRR 超过 100%,才达到该倍数;将 Snyk 倍数套用至 Semgrep $33.6M ARR,若 ARR 增速 60%+ 且 NRR > 120%,则隐含估值约 $700M——与 D 轮区间一致。 Checkmarx 于 2022 年以约 $1.15B 被 Hellman & Friedman 收购,彼时 ARR 约 $100M(约 11.5x ARR), 为 Semgrep 达到 $100M ARR 时提供了企业 AppSec 平台的战略底部估值参考。 GitHub Advanced Security(GHAS)捆绑在 GitHub Enterprise Cloud 企业版中,无单独披露的 ARR。 2018 年 Microsoft 以 $7.5B 收购 GitHub,针对的是完整开发者平台而非安全业务本身。GHAS 不是可交易 的可比标的,但为 GitHub 开发者分发所蕴含的价值提供了参照。 SonarSource(SonarQube)于 2022 年完成 $412M 融资,来自 Warburg Pincus,估值未披露,为面向 开发者的静态分析平台提供了私有可比参考;SonarSource 规模更大(ARR $100M+),但印证了投资者对 该赛道的规模化兴趣。 Veracode(2023 年由 Broadcom 以 $550M 收购,此前经历 PE 所有权)提供了并购底部参考:一家拥有 $250M+ ARR 的成熟 SAST/DAST 供应商以约 2x ARR 出售给大型企业并购方,反映遗留产品折价,但也 印证了战略买方需求。 **估值敏感性分析:** 以 Semgrep $33.6M ARR 为基准,隐含估值区间如下: - 10x ARR(遗留/停滞):$336M(悲观底部) - 15x ARR(温和增长,40% CAGR):$504M - 20x ARR(高增长,60% CAGR):$672M - 30x ARR(超高增长,80%+ CAGR,NRR > 120%):$1.0B+ 基于 $100M 融资规模、Menlo Ventures 典型支票对应持股比例(15–25%)及开发者安全赛道可比数据, D 轮后估值估计在 $400–750M 之间。 [CV016, CV017, CV018, CV019, CV020]
| 可比公司 | 指标 | 倍数 / 估值 / 状态 | 与 Semgrep 的关联 | 局限性 |
|---|---|---|---|---|
| Snyk(私有,开发者安全) | $350M ARR(估,2024 年);$7.4B 估值(二级市场,2024 年) | ~21 倍 ARR | 最贴近的可比:开发者优先 AppSec 平台,覆盖 SAST+SCA;PLG → 企业路径相似;ARR 阶段更靠后 | Snyk 阶段更晚(ARR $350M vs. $33.6M);Semgrep 退出时市场倍数或已收缩 |
| Checkmarx(PE 支持) | $100M+ ARR;2022 年被 Hellman & Friedman 以约 $1.15B 收购 | ~11.5 倍 ARR(战略底部) | 传统企业 SAST 市场;为 $100M ARR 规模的企业 AppSec 平台设定并购底价 | Checkmarx 成熟期增速较慢;传统产品有折价;不适用于成长型倍数 |
| SonarSource(SonarQube,私有) | 2022 年获 Warburg Pincus $412M 成长股权投资;ARR $100M+(估) | 未披露;交易隐含估值约 $1B+,ARR 约 $100M(~10 倍) | 开发者代码质量 + 安全分析;同样以开发者优先定位 | SonarQube 是更广泛的代码质量工具,非纯 AppSec;市场定位与 Semgrep 有别 |
| Veracode(2023 年被 Broadcom 收购) | $550M 收购价;ARR 约 $250M(传统产品) | ~2 倍 ARR(传统产品战略折价) | 设定战略并购底价——确认市场对 AppSec 并购的兴趣;呈现规模化成熟 SaaS AppSec 的价值 | Veracode 是传统产品;折价反映技术老化;不适用于成长型倍数 |
| GitHub Advanced Security(Microsoft,捆绑销售) | 捆绑于 GitHub Enterprise,无披露 ARR | 不可比价;仅作竞争参考 | 零成本竞争参考,为企业买方支付第三方 SAST 的意愿设定底线 | 非可投资参考;仅作竞争定价上限背景参考 |
| Semgrep D 轮隐含估值(估) | 融资 $100M;Menlo 领投(估持股 15–25%);基于 $33.6M ARR 的 Post-money 隐含估值约 $400–750M | 12–22 倍 ARR(D 轮入场区间估) | 直接定价参考;与同类开发者安全公司在 40–60% ARR 增速下的倍数相符 | 估值为推算;D 轮持股比例及 Post-money 未公开披露 |
估值数据来自公开报道、二级市场信息及媒体报道。所有私有公司 ARR 估算均源自众包或分析师预测,未经官方确认。
[CV016, CV017, CV018, CV019, CV020]估值以 ARR 倍数 × 当前 ARR 估计值 $33.6M 计算。各增速档位的 ARR 倍数由作者基于开发者安全领域可比公司判断得出,并非正式 DCF 或可比公司分析。
8.5 退出准备度与最终尽调待确认事项
**退出准备度:** Semgrep 有多条可行的退出路径:IPO(需要 $100M+ ARR、20%+ 增速及有利的市场环境,基准情景下预计 2028 年或之后)、被网络安全平台战略收购(Palo Alto Networks、CrowdStrike、Broadcom、Rapid7、 Tenable、JetBrains),或被财务投资方收购(PE 或成长股权,企业价值 $500M+)。D 轮投资方(Menlo、 Lightspeed、Sequoia)具备强大的 IPO 和并购资源;多个 ARR 里程碑节点均有退出路径可选。 IPO 路径要求: 1. $100M+ ARR 且增速 40%+ 2. NRR > 115%,证明"落地-扩张"模式有效 3. GAAP 毛利率 > 70%,证明 SaaS 经济模型可行 4. 降低关键人物依赖(CEO/CTO 接班人规划) 5. 取得 FedRAMP 授权以进入美国联邦市场 战略收购路径在 $200M–$1.5B+ 区间均可行,具体取决于 ARR、NRR 及买方战略契合度。最可能的战略 收购方(按优先级排序):(1)Palo Alto Networks(活跃 AppSec 并购记录,Prisma Cloud 扩张); (2)JetBrains(开发者工具协同,编辑器 + SAST 集成);(3)CrowdStrike(Falcon 平台向开发者 AppSec 延伸);(4)Google/GitHub 间接路径(通过平台合作应对 GHAS 竞争威胁)。 **最终尽调待确认事项(最小可行数据室):** 1. 截至 Q1 2026 的 ARR 及同比增速确认 2. 各层级过去 4 个季度的 NRR 和 GRR 3. 烧钱速度、现金储备及 E 轮融资管道 4. 各层级客户数量(CE MAU、Teams、Enterprise) 5. LGPL-2.1 重新授权合规性及 CLA 状态法律意见书 6. 企业 AE 头数及 2025 年直销新增 ARR 归因 [CV021, CV022, CV023, CV024, CV025]
| 触发事件 | 阈值 / 事件 | 对投资逻辑的影响 | 行动建议 |
|---|---|---|---|
| GitHub GHAS 功能追平 Semgrep Teams | GitHub 宣布跨文件 SAST + AI 修复建议纳入所有 GitHub Enterprise Cloud 方案,不额外收费 | 直接替代 Semgrep Teams,消除大多数 GitHub 托管企业客户的增量付费意愿 | 退出已有仓位或放弃投资;GHAS 若追平 Pro Engine 功能,投资逻辑从根本上崩溃 |
| ARR 停滞确认(同比增速 < 20%) | 数据室确认 ARR 同比增速 < 20%,或投资时 ARR < $35M | PLG → 企业转化失效;当前估值下的管道不足以支撑 E 轮 | 放弃;待估值更低或战略买方背景下重新评估 |
| NRR 确认低于 100%(净收缩) | 数据室确认 NRR < 100%(客户净萎缩而非扩张) | 收入基础净萎缩;SaaS 公司的核心逻辑从根本上动摇 | 无条件放弃;无论 ARR 增速如何,这都是逻辑崩溃信号 |
| LGPL 版权诉讼立案 | 针对 Semgrep 2024 年 12 月授权变更的版权侵权诉状出现在 PACER 法院系统 | 法律费用及禁令风险;可能被迫开源 CE 规则库;开发者社区声誉受损 | 暂停投资;要求管理层提供法律应对方案;评估和解可能性后再决策 |
| CEO 或 CTO 离职 | Isaac Evans 或 Drew Dennison 公开宣布离职 | 战略连续性中断;投资人担忧;工程推进速度存在风险 | 暂停流程;在新任领导接手后重新核验投资逻辑 |
| E 轮融资估值下调 | Semgrep E 轮 Post-money 低于 $400M(低于 D 轮估算值) | 暗示 ARR 增速不足;优先清算权堆叠加重;早期投资人按市值记账价受损 | 重新评估入场点;下调轮可能带来更好入场机会,但暗示结构性挑战 |
逻辑崩溃信号为投资特定判断。阈值仅供参考;监控标准应根据投资者仓位规模及投资逻辑调整。
[CV021, CV022, CV023]| 主题 | 缺失证据 | 重要性 | 负责人 / 尽调路径 |
|---|---|---|---|
| ARR 及增速 | 截至 2026 年 Q1 的官方 ARR 及同比增速;分 Teams / Enterprise 层级的 ARR 拆解 | 核心投资指标;$33.6M 为众包估算,且已有 9 个月未更新;无确认数据则无法核定估值或回报模型 | 管理层——CFO;在数据室中按标准 SaaS 财务包要求提供 |
| 净收入留存率(NRR) | 过去四个季度的 NRR 和 GRR,按 Teams 与 Enterprise 层级拆分 | 预测未来 ARR 走势的最关键指标;NRR > 120% 表明扩张超过流失;NRR < 105% 意味着结构性问题 | 管理层——CFO / 财务负责人;NRR 队列分析是 C 轮及以后数据室的标准交付物 |
| 现金消耗与跑道 | 月均烧钱速度、最近一个季度末现金头寸、至下一轮的预计现金跑道 | 决定融资紧迫性;判断 E 轮时间压力;验证或推翻作者每月 $4–7M 的烧钱估算 | 管理层——CFO;在数据室中要求提供现金流量表 |
| LGPL-2.1 重新授权法律意见 | Semgrep 法律顾问就 LGPL-2.1 重新授权合规性出具的意见;所有社区规则贡献者的 CLA 签署状态 | LGPL 合规性未确认则存在潜在阻塞性法律风险;机构投资者要求核心 IP 权属清晰 | Semgrep 总法律顾问;要求 Semgrep 外部律师出具正式 IP 尽调报告 |
| CE 用户数量及 Opengrep 影响 | 2024 年 12 月授权变更前后的月活跃 CE 扫描次数及新安装率;Opengrep 与 Semgrep 的开发者调研数据对比 | PLG 漏斗健康度是 Teams 转化增长的首要先行指标;Opengrep 分叉对 CE 漏斗的冲击是最关键的未知变量 | 管理层——增长 / 产品团队;要求提供 CE 漏斗仪表盘 |
| 企业直销指标 | 2025 年 Q1/Q2 企业客户经理数量;管道覆盖率;对比 GHAS、Snyk、Checkmarx 的赢率 / 败率;平均企业合同 ACV | VP Sales 爬坡速度是企业 GTM 执行的关键变量;数据将验证或推翻 D 轮企业增长逻辑 | 管理层——VP Sales(Garrett Souza);要求提供 CRM 管道摘要及企业客户队列数据 |
尽调问题按对投资逻辑的影响程度排序。在任何投资决策前,必须获得数据室访问权限。
[CV024, CV025]8.6 附注
免责声明
本报告为自动化尽调研究系统截至 2026 年 5 月 11 日生成的分析研究产品。所有财务估计均来源于公开或众包数据,未经 Semgrep 管理层独立核实或确认。本报告不构成投资建议、证券买卖邀约或投资推荐。可比公司的历史表现不代表未来结果。读者在做出任何投资决策前,应自行开展独立尽职调查。
证据索引
| 编号 | 陈述 | 可信度 | 来源 |
|---|---|---|---|
| CO001 | Semgrep, Inc. was founded in 2017 by Isaac Evans, Drew Dennison, and Luke O'Malley, with legal incorporation on May 15, 2017. | 高 | SO001, SO008, SO010 |
| CO002 | Semgrep is headquartered in San Francisco, California. | 高 | SO007, SO010 |
| CO003 | The company was originally known as r2c (Return to Corporation) before adopting the Semgrep brand. | 高 | SO008, SO017 |
| CO004 | All three co-founders are MIT EECS alumni who met in Simmons Hall as undergraduates and began collaborating on security projects. | 中 | SO008 |
| CO005 | Isaac Evans completed a master's thesis at MIT on advanced software security techniques. | 中 | SO008 |
| CO006 | In 2019, an internal hackathon led the r2c team to revive a dormant Facebook open-source project called sgrep, which became the foundation for Semgrep. | 中 | SO008 |
| CO007 | In 2020, the team renamed the revived open-source project to Semgrep and launched the commercial platform. | 高 | SO001, SO008 |
| CO008 | Semgrep's mission is to 'make it expensive to exploit software' and to profoundly improve software security and reliability. | 高 | SO001, SO005 |
| CO009 | Semgrep powers 75M+ source-code security scans per year as reported on the company's About page. | 高 | SO001, SO004 |
| CO010 | Semgrep supports 40+ coding languages plus CI/CD tools like GitHub and GitLab. | 高 | SO001, SO004 |
| CO011 | Semgrep has shipped 100+ releases per year with a weekly release cadence. | 中 | SO001 |
| CO012 | Semgrep has no disclosed acquisitions, mergers, or material strategic partnerships as of May 2026 beyond investor relationships. | 中 | SO009, SO010 |
| CO013 | Isaac Evans serves as CEO and co-founder of Semgrep; he is the primary external spokesperson. | 高 | SO001, SO013, SO006 |
| CO014 | Drew Dennison serves as CTO and co-founder of Semgrep, responsible for core engineering and technical architecture. | 高 | SO001, SO013 |
| CO015 | Luke O'Malley serves as Chief Product Officer and co-founder of Semgrep, overseeing product management. | 高 | SO001, SO013 |
| CO016 | All three co-founders maintain their original executive roles (CEO, CTO, CPO) as of May 2026, maintaining founder continuity. | 高 | SO013, SO001 |
| CO017 | Garrett Souza joined Semgrep as Vice President of Sales in February 2025, previously SVP Americas at Matillion and Enterprise Sales Leader at Snyk. | 高 | SO006, SO011, SO021 |
| CO018 | Mark McLaughlin, former CEO of Palo Alto Networks, joined Semgrep as an Angel Investor and Advisor in February 2025. | 高 | SO006, SO011, SO005 |
| CO019 | Matt Murphy, Partner at Menlo Ventures, joined Semgrep's board as a new Board Member upon completion of the Series D in February 2025. | 高 | SO006, SO019 |
| CO020 | The three co-founders represent a key-person concentration risk; the company is operationally dependent on Evans, Dennison, and O'Malley. | 中 | SO008, SO013 |
| CO021 | Semgrep operates a distributed and co-located hybrid work model with no single mandatory office location. | 中 | SO016 |
| CO022 | Semgrep's full board composition beyond investor representatives has not been publicly disclosed. | 中 | SO009, SO010 |
| CO023 | Semgrep raised $100M in Series D funding announced February 5, 2025, led by Menlo Ventures, bringing total funding to $204M. | 高 | SO006, SO005, SO007 |
| CO024 | The Series D round included participation from all existing investors: Felicis Ventures, Harpoon Ventures, Lightspeed Venture Partners, Redpoint Ventures, and Sequoia Capital. | 高 | SO005, SO006, SO007 |
| CO025 | Semgrep's first institutional funding round (Series A) closed October 29, 2020. | 中 | SO010, SO009 |
| CO026 | Semgrep raised a Series B round on July 7, 2021 with Felicis Ventures as lead investor. | 中 | SO010 |
| CO027 | Semgrep raised a $53M Series C in April 2023 led by Lightspeed Venture Partners, bringing total raised at that time to $93M. | 高 | SO007, SO009 |
| CO028 | Harpoon Ventures is a cybersecurity-specialist fund that participated in the Series D, adding domain expertise alongside capital. | 中 | SO006, SO005 |
| CO029 | Semgrep has not publicly disclosed its valuation; the $1B+ unicorn range is inferred from round size, sector comparables, and investor participation but is not confirmed. | 低 | SO007, SO009 |
| CO030 | Semgrep powers 75M+ annual code scans and has 3,000+ community rules. | 高 | SO001, SO009 |
| CO031 | Semgrep employs approximately 257 people as of March 2026, per Tracxn estimates. | 中 | SO010 |
| CO032 | Semgrep has not publicly disclosed revenue, ARR, gross margins, or net revenue retention as of May 2026. | 中 | SO009 |
| CO033 | Semgrep's AppSec Platform comprises four products: Semgrep Code (SAST), Semgrep Supply Chain (SCA), Semgrep Secrets, and Semgrep Assistant (AI). | 高 | SO003, SO004, SO009 |
| CO034 | The Semgrep open-source GitHub repository has accumulated 14,300+ stars as of May 2026. | 中 | SO004, SO023 |
| CO035 | Semgrep's Pro Engine reduces false positives by 25% and increases detected true positives by 250% compared to the Community Edition. | 中 | SO004 |
| CO036 | Semgrep Assistant achieves a 96% security researcher agree rate on auto-triage decisions, making it an AI AppSec engineer. | 中 | SO005, SO004 |
| CO037 | Semgrep launched an MCP server in 2025 enabling AI coding assistants (Cursor, VS Code, Claude Desktop) to invoke real-time Semgrep scans. | 中 | SO004 |
| CO038 | Semgrep supports 30+ languages for SAST and 12 languages across 15 package managers for Supply Chain SCA. | 高 | SO004, SO001 |
| CO039 | The Semgrep Rules Registry contains 3,000+ community-contributed rules plus 20,000+ proprietary Pro rules from Semgrep's security research team. | 高 | SO003, SO009 |
| CO040 | Semgrep's Teams tier is priced at $30/month/contributor for Code or Supply Chain and $15/month/contributor for Secrets; Enterprise is custom priced. | 高 | SO003, SO009 |
| CO041 | The Semgrep Community Edition Fall 2025 release achieved up to 3x improved scan performance and native support on approximately 500 million more machines. | 中 | SO002 |
| CO042 | In December 2024, Semgrep renamed its OSS project to Community Edition, introduced a proprietary Semgrep Rules License, and moved features including fingerprinting and tracking ignores to the commercial platform. | 高 | SO014, SO015, SO018, SO023 |
| CO043 | The engine itself remains under LGPL-2.1 license; only the rules license and certain CE features were restricted in the December 2024 change. | 高 | SO014, SO020 |
| CO044 | On January 23, 2025, a coalition of 10+ application security companies including Aikido Security, Endor Labs, Amplify Security, Jit, Orca Security, and others launched Opengrep as a fork of the last fully-featured Semgrep CE codebase. | 高 | SO014, SO018, SO020 |
| CO045 | Opengrep restores cross-function taint analysis, fingerprinting, and tracking ignores under LGPL-2.1 and adds Visual Basic support not available in Semgrep. | 高 | SO020, SO023 |
| CO046 | Critics described Semgrep's December 2024 license change as a 'rug pull' that alienated the open-source community and damaged trust with contributors. | 中 | SO014, SO018 |
| CO047 | Semgrep defended the license change by citing the need to protect rules from competitors building commercial products on top of Semgrep's work without contributing back. | 中 | SO014, SO005 |
| CO048 | Series D funds are designated for AI and program analysis talent acquisition, increased product awareness, and go-to-market team expansion including geographic expansion. | 高 | SO006, SO005 |
| CM001 | The application security testing market (SAST, DAST, IAST, RASP, SCA tools) is projected to grow from $1.83 billion in 2025 to $7.60 billion by 2031, at a CAGR of 26.7% (MarketsandMarkets). | 高 | SM001, SM016 |
| CM002 | The global DevSecOps market is projected to grow from $10.88 billion in 2026 to $29.52 billion by 2031, at a CAGR of 22.1% (Mordor Intelligence). | 中 | SM002 |
| CM003 | Coherent Market Insights projects the global DevSecOps market at $11.07 billion in 2026, growing to $26.05 billion by 2033 at a CAGR of 13.0%. | 中 | SM014 |
| CM004 | Fortune Business Insights projects the global DevSecOps market at $11.49 billion in 2026, growing to $31.96 billion by 2034 at a CAGR of 13.65%. | 中 | SM004 |
| CM005 | Business Research Insights projects the global AST tools market at $6.39 billion in 2026, growing to $23.97 billion by 2035 at a CAGR of 15.7%. | 中 | SM015 |
| CM006 | The standalone SCA market was $266.2 million in 2023 and is projected to grow at a CAGR of 19.87% to reach $880.6 million by 2030 (Grand View Research). | 高 | SM003, SM019 |
| CM007 | Multiple analyst sources converge on a $10-11 billion DevSecOps platform TAM in 2026, but the narrower SAST/SCA tool-only market is estimated at approximately $2-3 billion; the spread reflects scope differences, not methodological error. | 中 | SM001, SM002, SM014, SM004 |
| CM008 | GitHub reports 100 million total developers on its platform as of early 2023, with rapid growth since; this population constitutes the potential global addressable market for developer-first security tools. | 高 | SM020, SM022 |
| CM009 | The developer-facing SAST/SCA/Secrets SAM for CI/CD-integrated teams is estimated at approximately $2-3 billion in 2026, applying a 40% developer-team budget share to the MarketsandMarkets AST baseline escalated to 2026. | 低 | SM001, SM007 |
| CM010 | Large enterprises (>1,000 employees) account for approximately 64% of AST market revenue by organization size; SMEs hold 36% share (Business Research Insights). | 中 | SM015 |
| CM011 | CISOs hold primary AppSec budget authority in large enterprises; up to 15-25% of total cybersecurity budgets are allocated to application security, with mature enterprises spending $10M-$50M+ per year. | 中 | SM007, SM025 |
| CM012 | Developer and DevSecOps teams influence SAST/SCA tool purchases for toolchain integration; Semgrep's PLG model enables bottom-up developer adoption converting to enterprise contracts. | 中 | SM009, SM024 |
| CM013 | Cloud-based AST solutions account for 57% of all AST installations; 43% remain on-premises, concentrated in heavily regulated industries (Business Research Insights). | 中 | SM015 |
| CM014 | AI-generated code expanding the attack surface contributes +2.9% to the DevSecOps market CAGR forecast, making it the fourth largest single driver (Mordor Intelligence). | 中 | SM002 |
| CM015 | 65% of engineering leaders say their teams are already using AI tools for code generation, increasing demand for AI-aware SAST coverage (Gartner, reported via Veracode blog). | 中 | SM007 |
| CM016 | The EU Cyber Resilience Act imposes mandatory vulnerability reporting within 24 hours starting September 11, 2026, with full product conformity enforcement by December 2027; fines up to €15 million or 2.5% of global turnover. | 高 | SM012, SM010 |
| CM017 | 73.2% of organizations expect to increase cybersecurity budgets in the next year; 62.1% say AI-powered defensive tools are now a necessity (Futurum Group 2H 2025 survey, n=1,008). | 中 | SM010 |
| CM018 | 81% of organizations admit to knowingly shipping vulnerable code under deadline pressure (Checkmarx DevSecOps Evolution 2025, cited by AppSec Santa). | 中 | SM005 |
| CM019 | 97% of codebases contain open-source components (Black Duck OSSRA 2025, cited by AppSec Santa); this near-universal dependency drives structural SCA demand. | 高 | SM005, SM021 |
| CM020 | Sonatype's 2026 State of the Software Supply Chain reports that AI-assisted development is increasing dependency change velocity and can introduce errors such as selecting non-existent package versions or unsafe packages. | 高 | SM013, SM005 |
| CM021 | Regulatory pressure from US Executive Order 14028 and EU NIS2 directive forces organizations to embed security controls directly into software delivery pipelines rather than rely on downstream audits (Mordor Intelligence). | 中 | SM002 |
| CM022 | 56% of developers say their organization has adopted a DevSecOps platform (GitLab 2024 via AppSec Santa); 72% of global enterprises with 500+ employees have integrated SAST into pipelines (Grand View Research 2024 via AppSec Santa). | 中 | SM005 |
| CM023 | Traditional SAST tools produce false positive rates between 30% and 70% per multiple industry studies; high false positive rates create alert fatigue and erode developer trust in scanning tools. | 高 | SM017, SM008, SM001 |
| CM024 | 62% of respondents in the Cypress Data Defense 2025 State of AppSec survey admitted releasing vulnerable applications to meet delivery deadlines; 60% say security issues are more likely to delay product launches than feature bugs. | 中 | SM008 |
| CM025 | Only 30% of organizations consider themselves at a mature DevSecOps level (Checkmarx DevSecOps Evolution 2025 via AppSec Santa); 36% are in a formal DevSecOps program. | 中 | SM005 |
| CM026 | The global cybersecurity workforce gap is 4.8 million unfilled positions (ISC2 2024 via AppSec Santa); 67% of organizations report cybersecurity staff shortages. | 中 | SM005, SM007 |
| CM027 | 50% of organizations carry security debt; 70% of that debt comes from third-party/open-source code (Veracode State of Software Security 2025 via AppSec Santa). | 中 | SM005 |
| CM028 | 43% of organizations are at the lowest AppSec maturity level (Gartner via Veracode blog); this population represents potential future buyers not yet generating revenue for AppSec vendors. | 中 | SM007 |
| CM029 | Latio's 2026 Application Security Report describes the market as a discipline in crisis as AI changes developer workflows; it also notes the silent death of standalone ASPM as a category, absorbed into broader CTEM platforms. | 中 | SM006 |
| CM030 | Attacks on web applications account for up to 38% of observed intrusions — a sixfold increase over ten years (Cyentia Institute IRIS 2025, reported by Security Boulevard). | 中 | SM008 |
| CM031 | Many enterprises manage seven or more distinct security tools with significant feature overlap; tool sprawl creates data silos, compliance complexity, and budget inefficiency (Endor Labs 2026). | 中 | SM009 |
| CM032 | 58% of AppSec professionals report frequently encountering false positives from security scanning tools; 11% say it happens constantly (Cypress Data Defense 2025). | 中 | SM008 |
| CM033 | 43% of organizations plan to expand their security vendor count and the market remains in net-expansion mode (Futurum Group 2H 2025 survey). | 中 | SM010 |
| CM034 | SAST holds the largest revenue share within the application security testing market, followed by DAST and SCA; these three categories represent the core of the AST market. | 中 | SM005, SM001 |
| CM035 | North America accounts for 35-42% of the global DevSecOps/AST market by geography, consistently cited across Mordor Intelligence, MarketsandMarkets, and Business Research Insights. | 高 | SM001, SM002, SM015 |
| CM036 | Asia-Pacific is the fastest-growing region for DevSecOps at a 22-25% CAGR through 2031 (Mordor Intelligence), representing a longer-term expansion opportunity for Semgrep. | 中 | SM002 |
| CM037 | The healthcare vertical is expected to register the highest CAGR in the AST market due to HIPAA/HITECH/GDPR requirements and rapid healthcare digitization (MarketsandMarkets). | 中 | SM016 |
| CM038 | The EU Cyber Resilience Act mandates full product conformity by December 2027 for all digital products marketed in the EU; non-compliance risks fines up to €15 million or 2.5% of global annual revenue. | 高 | SM012, SM010 |
| CM039 | Semgrep's addressable market spans developer-first SAST (Code), SCA (Supply Chain), and Secrets — three categories within the fastest-growing and highest-overlap product segments in the AST market. | 中 | SM001, SM009 |
| CM040 | Semgrep's theoretical SOM ceiling, calculated from GitHub's 100M developer base at 10% enterprise attach rate at $30/contributor/month, implies a maximum of $3.6 billion annually at full market penetration; actual SOM is substantially lower. | 低 | SM020 |
| CM041 | 48% of the DevSecOps market by development environment is driven by cloud-native applications; 28% by secure CI/CD pipeline automation (Precedence Research via CloudAware). | 中 | SM011 |
| CM042 | In 2024 there was a 59% surge in contributions to generative AI projects on GitHub and a 98% increase in AI projects overall; developers are building AI models into applications at unprecedented scale (GitHub Octoverse 2024). | 高 | SM020, SM022 |
| CP001 | Semgrep has 14,300+ GitHub stars, supports 40+ programming languages, and powers 75M+ annual code scans. | 中 | SP001 |
| CP002 | Snyk reported $407.8M in revenue in 2025 with 5,000+ customers, $1.32B total funding, and an estimated $7.4–8.5B valuation. | 高 | SP004, SP005 |
| CP003 | GitHub Advanced Security (GHAS) is the only SAST/Secrets tool natively embedded in GitHub's platform, used by over 100 million developers worldwide. | 高 | SP008, SP009 |
| CP004 | Snyk's headcount declined approximately 12.3% in 2023-2024 due to restructuring, settling at approximately 1,278 employees in 2025 and ~1,204-1,216 in early 2026. | 中 | SP003 |
| CP005 | SonarQube/SonarCloud has over 7 million developers and 500,000+ organizations as users, with approximately 15% SAST market share (2026 benchmarks). | 中 | SP011, SP020 |
| CP006 | Checkmarx One surpassed $150M ARR in October 2025, reporting over 30% YoY ARR growth and adoption by 860+ large enterprise customers. | 高 | SP006, SP007 |
| CP007 | Veracode is owned by TA Associates and Francisco Partners following Broadcom's divestiture, serves 3,000+ enterprise customers, and focuses on compliance-driven SAST and DAST. | 中 | SP017 |
| CP008 | Endor Labs raised $70M in 2022, focuses on SCA reachability analysis using call-graph techniques, and competes directly with Semgrep Supply Chain. | 中 | SP018 |
| CP009 | Wiz has raised $1.9B, reached a $12B valuation, and crossed $500M ARR in 2025; its code security capabilities (IaC, supply chain, secrets in cloud context) overlap with Semgrep's platform positioning. | 中 | SP019 |
| CP010 | Mend.io (formerly WhiteSource) offers SCA and secrets scanning and competes with Semgrep Supply Chain in the enterprise SCA category. | 中 | SP024 |
| CP011 | Snyk's comparable SAST pricing is approximately $25–30/developer/month; Snyk Premium bundles the full suite at approximately $98/developer/month. | 中 | SP003 |
| CP012 | GitHub Code Security (GHAS SAST, CodeQL) is priced at $30/active committer/month; GitHub Secret Protection is $19/active committer/month (March 2025 rebrand). | 高 | SP008, SP009 |
| CP013 | Semgrep's YAML-based rule authoring — where rules resemble the source code they analyze — enables custom security patterns without a specialized query language, a differentiation neither CodeQL (SQL-like) nor Checkmarx (CxQL) matches for ease of use. | 中 | SP010, SP023 |
| CP014 | Semgrep is the only vendor in its price tier to offer an integrated SAST (Code), SCA (Supply Chain), Secrets, and AI triage (Assistant) AppSec platform; Snyk lacks integrated Secrets; GHAS lacks reachability-aware SCA. | 中 | SP001, SP010 |
| CP015 | CodeQL (GHAS) supports approximately 12 languages vs. Semgrep's 40+; CodeQL's scans take hours for deep semantic analysis vs. seconds/minutes for Semgrep's PR-level pattern matching. | 中 | SP010, SP009 |
| CP016 | GHAS deployment is GitHub-only; Semgrep supports GitHub, GitLab, Bitbucket, and Azure DevOps — a multi-VCS advantage that is relevant for enterprises on non-GitHub platforms. | 高 | SP008, SP010 |
| CP017 | Semgrep's MCP server released in 2025 enables AI coding assistants (Cursor, VS Code, Claude Desktop) to invoke Semgrep in real time; no competitor has launched an equivalent MCP-native SAST integration. | 中 | SP001 |
| CP018 | Many security teams run both GHAS (CodeQL) and Semgrep simultaneously: CodeQL for deep nightly semantic analysis, Semgrep for fast PR-level pattern-matching, reducing zero-sum competitive dynamics. | 中 | SP010 |
| CP019 | Snyk Code (SAST) is powered by DeepCode AI technology (acquired by Snyk in 2020) and offers AI-suggested fixes, but does not support user-authored custom SAST rules. | 中 | SP003, SP004 |
| CP020 | GitHub Copilot Autofix generates PR-ready code patches for CodeQL findings directly in GitHub pull requests, providing a seamless developer fix workflow that Semgrep Assistant partially replicates. | 高 | SP008, SP010 |
| CP021 | Checkmarx One analyzes 800 billion lines of code monthly and performs 4 million scans per month across its 860+ enterprise customers. | 中 | SP007, SP006 |
| CP022 | Checkmarx is a Gartner Magic Quadrant Leader for Application Security Testing (AST) 2025, alongside Synopsys and Veracode; Semgrep is not yet in the Gartner Magic Quadrant but appears in Gartner Peer Insights reviews. | 中 | SP021, SP006 |
| CP023 | Checkmarx One enterprise pricing is not publicly disclosed; analyst commentary estimates typical deal sizes range from $150K to $1M+ ACV, implying a minimum organization size of 500+ employees to justify the economics. | 低 | SP006, SP022 |
| CP024 | SonarQube server Developer Edition entry pricing starts at approximately $1,500/year based on lines of code; SonarCloud SaaS Team tier starts at $32/month — both significantly lower than enterprise SAST platforms. | 中 | SP012 |
| CP025 | SonarQube's 6,500+ rules are approximately 85% code quality and 15% security; independent 2026 benchmark shows 19% security detection rate for SonarQube vs. 46% for Semgrep in pure security findings. | 中 | SP011, SP016 |
| CP026 | SonarQube's SCA capabilities (dependency checking, license management) are available only in Advanced Security add-on for Enterprise Edition (2025+), whereas Semgrep Supply Chain is integrated at the Teams tier. | 中 | SP012, SP011 |
| CP027 | Checkmarx One's DAST capabilities give it a complete SAST+DAST+SCA+API security platform that Semgrep cannot match; this positions Checkmarx for comprehensive AppSec program RFPs where DAST is required. | 中 | SP007 |
| CP028 | Snyk acquired DeepCode (AI code analysis) in 2020 and Fugue (cloud security IaC) in 2023; these acquisitions expanded Snyk's SAST and cloud security capabilities. | 中 | SP003, SP004 |
| CP029 | Veracode specializes in audit-ready compliance documentation and DAST capabilities, targeting the financial services, healthcare, and government enterprise segments where Semgrep has limited penetration. | 中 | SP017 |
| CP030 | Opengrep was launched January 23, 2025 by a consortium of 10+ companies (Aikido, Endor Labs, Amplify Security, Jit, Orca Security, Mobb) as a fork of Semgrep CE, restoring features restricted in December 2024 under LGPL-2.1. | 中 | SP013, SP014 |
| CP031 | Opengrep has 2,100+ GitHub stars, 26 releases, and 61+ contributors as of early 2026. | 中 | SP014, SP013 |
| CP032 | Semgrep CE has 14,300+ GitHub stars vs. Opengrep's 2,100+ stars — a 6.8:1 ratio indicating that Semgrep retains a dominant legacy position despite the fork. | 中 | SP014, SP001 |
| CP033 | Endor Labs benchmarks show Opengrep is up to 3.15x faster than Semgrep CE in scenarios with many local rules, citing OCaml runtime improvements. | 中 | SP015 |
| CP034 | Opengrep restored cross-function taint analysis (across 12 languages), Visual Basic support, rewired SARIF output, and Windows support — features Semgrep locked to the commercial platform in Dec 2024. | 中 | SP014, SP015 |
| CP035 | Opengrep is governed by a multi-vendor Open Governance Consortium with no single controlling commercial entity, in contrast to Semgrep CE which is controlled by Semgrep Inc. | 中 | SP014, SP013 |
| CP036 | Semgrep has not publicly disclosed any response strategy to Opengrep in investor communications, SEC filings, or press releases; the company's public stance has been that CE features remain available for non-commercial use. | 低 | SP001 |
| CP037 | Semgrep's commercial Pro rule set includes 20,000+ proprietary rules not available in CE or Opengrep; the OSS rule set has 3,000+ community-contributed rules that are portable to any compatible engine. | 中 | SP001 |
| CP038 | Semgrep's PLG motion — OSS free tier to $30/contributor Teams to Enterprise — enables developer-led adoption with low customer acquisition cost relative to direct enterprise sales, a structural advantage over Checkmarx and Veracode. | 中 | SP001, SP004 |
| CP039 | GHAS's structural distribution advantage (native GitHub embedding for 100M+ developers) makes it the path-of-least-resistance SAST tool for GitHub Enterprise organizations, short-circuiting Semgrep's OSS discovery funnel. | 中 | SP008, SP009 |
| CP040 | Semgrep does not currently offer DAST, IaC scanning as a standalone product, or runtime security (RASP), limiting its ability to compete in comprehensive enterprise AppSec platform RFPs against Checkmarx One. | 中 | SP001, SP007 |
| CP041 | Latio 2026 observes enterprises consolidating from 7+ security tools toward unified platforms, favoring vendors with SAST+SCA+DAST+ASPM breadth; Semgrep's current four-product platform does not include DAST or ASPM. | 中 | SP025 |
| CP042 | Switching costs from Semgrep to a competitor are moderate: CI integration takes 1-2 days to reconfigure; Pro rules are non-portable; Enterprise SSO/SCIM/audit-log configurations create modest lock-in. | 低 | SP001, SP010 |
| CI001 | Semgrep's primary revenue model is a three-tier PLG SaaS subscription: Free CE, Teams ($30/contributor/month for Code or SC; $15/month for Secrets), and Enterprise (custom ACV). | 高 | SI012, SI025 |
| CI002 | Semgrep Teams tier is priced at $30 per contributor per month for Semgrep Code (SAST) or Semgrep Supply Chain (SCA), and $15 per contributor per month for Semgrep Secrets. | 高 | SI012, SI025 |
| CI003 | Semgrep's free Community Edition is limited to single-function analysis, up to 10 repositories and contributors, with access to community rules but not Pro rules or AI triage. | 高 | SI012, SI025 |
| CI004 | Semgrep Enterprise pricing is custom-negotiated, with ACV estimated at $50K–$500K+ per organization based on comparable SAST enterprise vendor ACVs; no public pricing is listed. | 低 | SI012, SI013 |
| CI005 | Semgrep's Managed Scanning feature reduces enterprise time-to-first-finding from weeks to hours by handling CI/CD configuration on behalf of customers, functioning as both a product feature and a sales tool. | 中 | SI020, SI012 |
| CI006 | Revenue recognition for Semgrep is ratable over contract term; annual subscription prepayments create positive working capital dynamics typical of B2B SaaS. | 中 | SI012 |
| CI007 | SaaS PLG companies with developer-first free tiers typically achieve free-to-paid conversion rates of 3–8% (OpenView Partners 2025), implying a meaningful but not exceptional conversion efficiency. | 中 | SI010, SI019 |
| CI008 | The Series D hire of Garrett Souza as VP Sales signals a deliberate shift from pure PLG toward a hybrid PLG + direct enterprise sales motion, which will increase sales headcount and S&M spend. | 中 | SI004, SI015 |
| CI009 | Semgrep's revenue per employee is approximately $160K at $33.6M ARR with 210 employees (Sept 2025) — below the top-tier SaaS benchmark of $200–300K per employee but consistent with growth-stage Series D companies. | 中 | SI001, SI007 |
| CI010 | Median SaaS CAC payback period is 20 months (Benchmarkit 2025); PLG companies typically achieve payback under 12–18 months due to lower CAC from organic developer acquisition. | 中 | SI006, SI007 |
| CI011 | Enterprise SAST sales cycles in the 500+ employee segment typically run 90–180 days from initial contact to signed contract, reflecting CISO-level approval and security questionnaire requirements. | 中 | SI010 |
| CI012 | Semgrep's 75M+ annual scan volume and 14,300+ GitHub stars provide indirect evidence of large developer adoption but are operational metrics, not revenue metrics. | 中 | SI012, SI023 |
| CI013 | Semgrep's gross margin is estimated at 70–80% based on developer security SaaS benchmarks; the AI triage (Semgrep Assistant) layer adds LLM inference costs that could compress margins by 3–7%. | 低 | SI007, SI008 |
| CI014 | Semgrep's cost of goods sold consists primarily of cloud hosting (AWS/GCP) for scan execution, CI/CD API integrations, professional services headcount, and third-party vulnerability data feeds for Supply Chain. | 中 | SI012 |
| CI015 | Estimated operating expenses at $33.6M ARR scale: R&D ~50–60% of ARR, S&M ~40–50%, G&A ~10–15%, implying total annual cash OpEx of $45–75M and a meaningful operating loss at current scale. | 低 | SI007, SI008 |
| CI016 | Developer security SaaS gross margins of 75–85% are achievable at scale; static analysis software has low incremental COGS once cloud infrastructure is provisioned, creating natural operating leverage. | 中 | SI007, SI009 |
| CI017 | Capital intensity for static analysis SaaS is low: no hardware manufacturing, minimal capex, and cloud costs that scale with scan volume but represent a small fraction of revenue at scale. | 中 | SI012 |
| CI018 | Latka reports Semgrep's annual recurring revenue at approximately $33.6M in September 2025, based on crowdsourced data from a 210-person team; this figure is unaudited and unverified by the company. | 中 | SI001, SI021 |
| CI019 | Semgrep has not publicly disclosed ARR, revenue growth rate, gross margin, NRR, customer count, churn rate, or burn rate as of May 2026. | 高 | SI002, SI003 |
| CI020 | All major unit economics metrics — ARR, growth rate, gross margin, NRR, CAC, LTV, burn rate, and customer count — are fully private for Semgrep as of May 2026. | 高 | SI002, SI016 |
| CI021 | Named Semgrep customers include Figma, Dropbox, Slack, Snowflake, HashiCorp, GitLab, and Shopify — evidence of enterprise-grade adoption, but customer count is undisclosed. | 中 | SI012, SI023 |
| CI022 | At a hypothetical $1B valuation (implied unicorn status) and $33.6M ARR, Semgrep's revenue multiple would be approximately 30x — aggressive but within range for high-growth developer security SaaS in 2025 (Snyk: ~21x, Checkmarx: ~15–20x implied). | 低 | SI001, SI009 |
| CI023 | Semgrep ARR growth rate is unknown; absent a management confirmation, annual growth rate estimates range from 13% (Opengrep headwind scenario) to 114% (AI demand acceleration scenario), with a base case of ~55% YoY. | 低 | SI001, SI016 |
| CI024 | Semgrep's capital efficiency ratio — total dollars raised ($204M) relative to ARR ($33.6M) — is approximately 6:1, below the 1.5–3x ARR/capital benchmark for top-tier developer SaaS companies. | 中 | SI001, SI003 |
| CI025 | Semgrep has raised $204M in total funding: Series A (Oct 2020), Series B (Jul 2021), Series C $53M (Apr 2023), Series D $100M (Feb 5, 2025). | 高 | SI004, SI003 |
| CI026 | The $100M Series D was led by Menlo Ventures (Matt Murphy board seat) with participation from Lightspeed, Redpoint, Sequoia, Felicis, and Harpoon — all existing investors. | 高 | SI004, SI024 |
| CI027 | Stated use of Series D proceeds: AI and program analysis talent acquisition, product awareness expansion, and GTM team growth including geographic expansion in Europe and Asia-Pacific. | 高 | SI004, SI023 |
| CI028 | Estimated monthly burn rate is $4–7M based on 257 employees with estimated average fully-loaded annual cost of $200–250K per employee, plus cloud infrastructure and G&A. | 低 | SI014, SI007 |
| CI029 | Estimated cash on hand as of May 2026 is $50–90M, derived from $100M Series D close (Feb 2025) minus approximately 15 months of estimated $4–7M/month burn. | 低 | SI004, SI014 |
| CI030 | Estimated runway from May 2026 is 10–22 months assuming $50–90M cash and $4–7M/month burn, placing the Series E financing window at approximately Q1 2026 – Q4 2027. | 低 | SI004, SI007 |
| CI031 | Semgrep must demonstrate a meaningful ARR step-up (toward $60–80M) to justify a Series E at a $1B+ valuation, requiring either PLG acceleration or accelerated enterprise direct sales. | 低 | SI001, SI009 |
| CI032 | The Opengrep fork may have reduced CE download rates and CE-to-Teams conversion efficiency, though no data has been disclosed; this is a potential material impairment to the PLG revenue funnel. | 低 | SI026, SI012 |
| CI033 | Semgrep was incorporated as r2c in Delaware on May 15, 2017; the entity later rebranded to Semgrep; the legal entity registration is documented in Delaware Division of Corporations filings. | 高 | SI027, SI003 |
| CI034 | Opengrep was launched on January 23, 2025 as a direct fork of Semgrep CE following Semgrep's December 2024 license restrictions, and garnered 2,100+ GitHub stars within weeks — representing a direct adverse signal for Semgrep's PLG top-of-funnel economics. | 中 | SI026, SI015, SI023 |
| CI035 | Semgrep has not filed SEC disclosures (S-1, Form D exemptions for Reg D rounds may exist) and has disclosed no IPO plans as of May 2026; all investor exit options remain equity secondary or future M&A. | 中 | SI003, SI027 |
| CE001 | Semgrep offers four core product modules: Semgrep Code (SAST), Semgrep Supply Chain (SCA), Semgrep Secrets, and Semgrep Assistant (AI triage and auto-fix). | 高 | SE001, SE002 |
| CE002 | Semgrep Supply Chain applies reachability analysis to filter CVE matches, claiming 95%+ noise reduction compared to CVE-list-only SCA tools by verifying whether vulnerable dependency functions are actually called in the application codebase. | 中 | SE003, SE004 |
| CE003 | Semgrep Secrets performs live validation of detected credentials by pinging the relevant API endpoints to confirm whether a detected secret is active, reducing false positives compared to regex-only secret scanning tools. | 中 | SE019 |
| CE004 | Semgrep Assistant is an AI-powered triage and remediation tool that automatically classifies findings, filters confirmed false positives, explains vulnerabilities in natural language, and generates suggested code fixes, powered by LLM APIs (likely OpenAI or Anthropic). | 中 | SE005, SE006 |
| CE005 | Semgrep Managed Scanning deploys and maintains CI/CD scan configurations across all repositories in an organization via a GitHub App or GitLab integration, eliminating per-team developer effort and reducing enterprise deployment time from weeks to hours. | 中 | SE007 |
| CE006 | Semgrep's customer workflow begins with individual developer CE adoption, progresses to team-level Teams tier upgrade, and expands to enterprise-wide deployment via direct sales with Managed Scanning — a documented PLG land-and-expand motion. | 中 | SE001, SE007 |
| CE007 | Semgrep's static analysis engine is written in OCaml and uses tree-sitter grammars for AST parsing across 40+ programming languages; the engine is the foundational technology underpinning all four product modules. | 高 | SE001, SE018 |
| CE008 | The Semgrep Pro Engine extends the OSS core with cross-file and cross-function dataflow analysis (taint tracking), enabling detection of vulnerability classes that span module boundaries; Pro Engine runs via Semgrep's cloud infrastructure, not locally. | 高 | SE002, SE017 |
| CE009 | Semgrep's local-scan architecture transmits only finding metadata (matched snippets, file paths, rule IDs) to the cloud platform, not full source code; this is a critical security boundary for enterprise security approval. | 中 | SE001, SE010 |
| CE010 | Semgrep integrates natively with GitHub Actions, GitLab CI/CD, Jenkins, CircleCI, Azure DevOps, and Bitbucket Pipelines via official plugins; and with VS Code and JetBrains for IDE scanning. | 高 | SE008, SE022 |
| CE011 | Semgrep Assistant depends on third-party LLM APIs (OpenAI or Anthropic) for AI triage and fix generation; this creates a sub-processor dependency that enterprise security reviews may require a DPA addendum to address. | 中 | SE005, SE010 |
| CE012 | Semgrep Supply Chain depends on the NIST NVD CVE feed and GitHub Advisory Database for vulnerability data; NVD publication delays (up to 48 hours post-disclosure) can lag reachability analysis for newly disclosed CVEs. | 中 | SE003 |
| CE013 | Semgrep announced geographic expansion in Europe and Asia-Pacific as part of the Series D use-of-funds, implying data residency investment and regional GTM hiring planned for 2025–2026. | 中 | SE025 |
| CE014 | Semgrep's public roadmap as of 2025–2026 prioritizes AI auto-fix generation GA, Managed Scanning expansion, Supply Chain reachability for additional languages (Python, Ruby, PHP), and FedRAMP progress. | 中 | SE016, SE025 |
| CE015 | Semgrep's REST API enables CI/CD integration, SARIF output for GitHub/GitLab Security Dashboards, SBOM generation, and webhook integration with JIRA, Slack, Linear, and PagerDuty. | 中 | SE008 |
| CE016 | Semgrep's SSO/SAML integration supports Okta, Azure AD, and Google Workspace for enterprise access control; SCIM provisioning for automated user management is available in Enterprise tier. | 高 | SE021, SE001 |
| CE017 | Semgrep launched the Pro Engine in 2022, Supply Chain and Secrets in 2023, and Semgrep Assistant in 2024, representing a methodical expansion from single-product SAST to multi-product AppSec platform over four years. | 高 | SE017, SE004, SE006 |
| CE018 | Semgrep's YAML-based rule language allows security engineers to write detection rules without deep compiler knowledge; rules are portable across languages with similar patterns, creating a community contribution flywheel with 3,000+ community rules. | 高 | SE024, SE018 |
| CE019 | Semgrep Pro Engine's cross-file interprocedural analysis is a technical differentiator vs. simple pattern-match SAST tools; it enables detection of vulnerability classes (cross-module SQL injection, deserialization in helper libraries) that intra-procedural tools miss. | 中 | SE002 |
| CE020 | Semgrep has not disclosed a public patent portfolio; its IP is primarily embedded in the Pro Engine's proprietary dataflow analysis, the Pro rule library, and accumulated scan telemetry. | 中 | SE018 |
| CE021 | Semgrep supports 40+ programming languages at varying maturity levels: Java, Python, JavaScript/TypeScript, Ruby, Go, C/C++, PHP, and Kotlin have GA-level support; others are in beta or experimental status. | 高 | SE015, SE001 |
| CE022 | Opengrep, the January 2025 fork of Semgrep CE, claims 3.15x faster full-repository scan speeds than Semgrep CE in published benchmarks, using an optimized OCaml runtime and parallel execution improvements. | 中 | SE011, SE012 |
| CE023 | Semgrep's 75M+ annual scan volume generates anonymized pattern telemetry that informs rule quality and false-positive rate optimization, creating a data accumulation advantage that compounds with usage growth. | 中 | SE001 |
| CE024 | Semgrep holds a SOC 2 Type II certification covering security, availability, and confidentiality controls; the report is available under NDA to enterprise customers via trust.semgrep.dev. | 高 | SE009, SE010 |
| CE025 | Semgrep has published a Data Processing Agreement for GDPR compliance; code snippet data transmitted to Semgrep is subject to GDPR retention and deletion controls; EU data residency is planned but not yet generally available as of May 2026. | 高 | SE009, SE010 |
| CE026 | Semgrep has achieved FedRAMP Ready status but has not completed FedRAMP Authorization as of May 2026, blocking U.S. federal government sales; FedRAMP Authorization completion timeline is not publicly disclosed. | 中 | SE009 |
| CE027 | Semgrep does not use customer code to train its AI or rule models by default; opt-in telemetry programs exist but training on customer-specific code requires explicit customer consent, per Semgrep's privacy documentation. | 中 | SE010 |
| CE028 | Semgrep offers a 99.9% uptime SLA for Enterprise tier; status.semgrep.dev provides real-time platform status transparency; no major publicly disclosed outages identified as of May 2026. | 中 | SE023 |
| CE029 | Semgrep has a published responsible disclosure policy; no public bug bounty program identified; no publicly disclosed CVEs attributed to the Semgrep SaaS platform as of May 2026. | 中 | SE010 |
| CE030 | Opengrep launched on January 23, 2025 as a community fork of Semgrep CE, founded in response to the December 2024 license restriction on Semgrep CE rules; it reached 2,100+ GitHub stars within weeks. | 中 | SE012, SE011 |
| CE031 | If Opengrep's 3.15x speed improvement is independently verified and sustained, it represents a material threat to Semgrep's OSS engine developer experience advantage, which is the foundation of the PLG acquisition funnel. | 中 | SE011, SE012 |
| CE032 | GitHub Copilot Autofix, launched in 2024, provides AI-generated code fix suggestions for code scanning alerts within the GitHub UI, directly overlapping with Semgrep Assistant's triage and auto-fix value proposition. | 高 | SE013, SE014 |
| CE033 | For organizations paying for GitHub Enterprise or Copilot Enterprise, GitHub Copilot Autofix is included at no additional marginal cost, making it a zero-price substitute for Semgrep Assistant's AI triage capability for GitHub-native organizations. | 中 | SE013, SE014 |
| CE034 | Semgrep's Pro rule FP rate is company-claimed at less than 5% on benchmarked rulesets; community rules have no enforced FP rate standard; no independent third-party benchmark validates this claim. | 低 | SE002, SE024 |
| CE035 | Semgrep cloud platform COGS drivers are primarily LLM API inference costs (Assistant), Pro Engine compute for cross-file scans, and storage for finding history; all three scale with usage, creating moderate variable cost exposure. | 低 | SE005, SE002 |
| CU001 | Semgrep's customer base consists of three segments: free CE users (zero revenue, large pipeline), self-serve Teams tier subscribers (paid, estimated 30–40% of ARR), and Enterprise direct-sales accounts (paid, estimated 60–70% of ARR). | 中 | SU001, SU010 |
| CU002 | The Semgrep Teams tier buyer is typically an engineering lead or developer security champion at a 10–500 employee company; purchase is self-serve via semgrep.dev. | 中 | SU001 |
| CU003 | Semgrep's Enterprise buyer is typically a CISO or VP Engineering at a 500+ employee organization requiring SSO/SAML, SCIM, audit logging, Managed Scanning, and SLA; contract is direct sales, annual or multi-year. | 中 | SU001, SU022 |
| CU004 | Semgrep's public reference customer base is concentrated in U.S.-based software-native companies (Figma, Dropbox, Slack, Snowflake, HashiCorp, GitLab, Shopify); no public European or APAC enterprise case studies have been published. | 高 | SU001, SU002 |
| CU005 | Semgrep's named customers are concentrated in the SaaS/cloud, fintech, and enterprise software verticals; no public references in regulated industries (healthcare, financial services) or government sectors. | 中 | SU001 |
| CU006 | Semgrep processes 75M+ annual code scans across all tiers (CE + Teams + Enterprise) as of 2025 — a company-claimed metric representing total platform scan volume. | 中 | SU009, SU001 |
| CU007 | Semgrep has 14,300+ GitHub stars on the semgrep/semgrep repository as of May 2026, placing it among the top 10% of developer security tools by OSS star count. | 高 | SU008, SU009 |
| CU008 | Semgrep has 3,000+ community rules contributed by external developers in the public registry (semgrep.dev/r), representing a community engagement indicator and rule library depth signal. | 中 | SU009 |
| CU009 | Semgrep holds a 4.5/5 average rating across 30+ verified user reviews on G2 as of early 2026, with positive feedback on rule accuracy and developer experience and negative feedback on community rule FP rates and scan speed. | 中 | SU006, SU021 |
| CU010 | Based on the Latka ARR estimate of $33.6M and typical PLG enterprise revenue mix, Semgrep likely has 100–400 enterprise accounts and 1,000–2,000 Teams tier accounts; these estimates are highly uncertain. | 低 | SU010 |
| CU011 | Semgrep's Series D announcement (February 2025) included geographic expansion to Europe and Asia-Pacific as a stated GTM priority, implying that the current customer base is North America-concentrated. | 中 | SU025 |
| CU012 | Figma uses Semgrep Code in CI/CD pipelines with custom security rules written by Figma's security team, representing a production-level enterprise deployment with evidence of deep product adoption. | 中 | SU002, SU001 |
| CU013 | Dropbox deployed Semgrep organization-wide to scale security review coverage without proportional security headcount growth, representing a high-quality enterprise reference with documented outcome rationale. | 中 | SU003, SU001 |
| CU014 | Snowflake is named as a Semgrep customer on the company's customer page; no detailed case study or outcome metrics have been published as of May 2026. | 低 | SU005, SU001 |
| CU015 | Shopify is named as a Semgrep customer on the company's customer page; no detailed case study or outcome metrics have been published as of May 2026. | 低 | SU001 |
| CU016 | GitLab embeds Semgrep CE rules in GitLab Ultimate's native SAST scanner; this represents an OEM-style technical integration rather than a direct commercial Enterprise contract, providing rule distribution at GitLab's scale. | 高 | SU012, SU013 |
| CU017 | HashiCorp engineers have contributed custom rules to the Semgrep community registry, indicating active production use; the company was acquired by IBM in 2024, introducing tooling strategy uncertainty. | 中 | SU004, SU001 |
| CU018 | Slack (now Salesforce) engineering team has publicly referenced use of Semgrep for custom rule enforcement in CI/CD; reference predates the 2021 Salesforce acquisition and may not reflect current tooling. | 低 | SU001, SU024 |
| CU019 | Semgrep has not publicly disclosed NRR, GRR, churn rate, renewal rate, or customer cohort data; all retention metrics must be estimated from industry benchmarks. | 中 | SU010, SU011 |
| CU020 | Enterprise customers with SSO/SAML, SCIM, Managed Scanning, and audit logging have structurally high switching costs; estimated Enterprise GRR is 85–95% based on comparable developer security SaaS benchmarks. | 低 | SU014, SU015 |
| CU021 | Teams tier customers have lower switching costs than Enterprise; estimated Teams GRR is 70–85% based on self-serve SaaS churn benchmarks (median monthly churn ~1.5–2%). | 低 | SU014, SU015 |
| CU022 | G2 reviews (4.5/5 average, 30+ reviews) represent the primary public customer satisfaction signal; review volume is small relative to estimated customer count, limiting statistical significance. | 中 | SU006, SU019 |
| CU023 | Semgrep does not publish Net Promoter Score; developer community engagement metrics (3,000+ community rule contributions, 14,300+ GitHub stars, active Slack community) suggest a positive NPS proxy above 50. | 低 | SU008, SU009 |
| CU024 | The December 2024 CE license restriction may have impaired Semgrep's CE acquisition rate as developers migrate to the Opengrep fork; no data on post-restriction CE installation trends has been disclosed. | 中 | SU016, SU017 |
| CU025 | Semgrep's primary expansion motion is cross-sell within the AppSec platform: Code → Supply Chain → Secrets → Assistant, with enterprise ACV expected to grow 2–4x from initial Code contract over multi-year engagement. | 中 | SU001, SU022 |
| CU026 | No publicly confirmed channel partner (MSSP, VAR, marketplace) that contributes to Semgrep customer acquisition; GTM is 100% direct (PLG self-serve + enterprise direct sales). | 中 | SU001 |
| CU027 | Semgrep's named reference customers are all U.S.-headquartered tech companies; vertical concentration in tech-sector creates exposure to tech hiring/budget cycles. | 中 | SU001, SU002 |
| CU028 | At $33.6M ARR with an estimated 100–400 enterprise accounts, the top-10 accounts likely represent 30–50% of ARR — a meaningful customer concentration risk for a Series D-stage company. | 低 | SU010 |
| CU029 | GitLab embedding Semgrep rules in GitLab Ultimate provides indirect distribution at scale but creates dependency risk; if GitLab replaces the Semgrep rule engine, this distribution channel disappears without revenue impact to GitLab. | 中 | SU012, SU013 |
| CU030 | Semgrep's Managed Scanning feature reduces enterprise deployment friction from weeks to hours, enabling organization-wide deployment from a single contract; reference cases at 10,000+ repository scale have not been published. | 中 | SU022, SU023 |
| CU031 | Semgrep's enterprise contract length is typically annual or multi-year (2–3 year terms), consistent with enterprise security tooling procurement patterns that require multi-year budgeting. | 低 | SU001, SU014 |
| CU032 | GitLab documents its use of Semgrep rules in GitLab Ultimate SAST as a production shipping integration, providing independent third-party validation of Semgrep's rule quality at GitLab's enterprise scale. | 高 | SU013, SU012 |
| CU033 | Semgrep announced Series D-funded geographic expansion to Europe and Asia-Pacific, implying the company's current customer revenue base is concentrated in North America. | 中 | SU025, SU011 |
| CU034 | Semgrep's cross-sell motion from Code (SAST) to Supply Chain (SCA) to Secrets to Assistant represents the primary expansion revenue mechanism; enterprise ACV is expected to grow 2–4x from initial Code contract over multi-year engagement per product attach. | 中 | SU022, SU001 |
| CU035 | Semgrep's estimated customer count of 100–400 enterprise accounts and 1,000–2,000 Teams accounts is consistent with $33.6M ARR if median enterprise ACV is $100–150K and median Teams ARPU is $5–10K/year. | 低 | SU010 |
| CR001 | GitHub Advanced Security (GHAS) + Copilot Autofix provides SAST scanning and AI-generated code fix suggestions bundled into GitHub Enterprise at zero additional marginal cost for existing subscribers, directly competing with Semgrep Teams and Semgrep Assistant. | 高 | SR006, SR007 |
| CR002 | Semgrep's Pro Engine (cross-file dataflow) and 20,000+ Pro rules are not replicated by GitHub GHAS native SAST or Opengrep CE, creating a technical moat that limits direct substitution for enterprises requiring precision AppSec analysis. | 中 | SR006, SR007 |
| CR003 | The competitive commoditization risk from GitHub GHAS is structural and worsening: GitHub has 50M+ developers on its platform, creating an asymmetric distribution moat that Semgrep cannot match through developer marketing alone. | 中 | SR006, SR020 |
| CR004 | Opengrep (January 2025 fork of Semgrep CE) claims 3.15x performance improvement in full-repository benchmarks, is licensed under AGPLv3, and has 2,100+ GitHub stars — representing a credible alternative to Semgrep CE for developer adoption. | 中 | SR004, SR005 |
| CR005 | No active litigation has been filed against Semgrep for the December 2024 CE license change as of May 2026; community legal concerns have been raised on GitHub Discussions and Hacker News but have not escalated to formal legal action. | 中 | SR001, SR002 |
| CR006 | The December 2024 CE license change from LGPL-2.1 to Semgrep SOSL relicensed community-contributed rules without confirmed Contributor License Agreements from all 3,000+ community contributors, potentially violating LGPL-2.1 relicensing requirements. | 中 | SR001, SR024 |
| CR007 | LGPL-2.1 requires contributor consent for relicensing derivative works; if Semgrep's community rule contributors have not provided explicit consent via CLAs, the SOSL license transition may be legally challenged by any contributing party. | 中 | SR024, SR002 |
| CR008 | Semgrep has FedRAMP Ready status but has not completed FedRAMP Authorization, blocking U.S. federal government procurement; Authorization typically requires 12–24 months after ATO sponsorship is secured. | 中 | SR008, SR009 |
| CR009 | The EU AI Act, in force since August 2024, may impose transparency and documentation obligations on Semgrep Assistant's AI-generated code fix suggestions; specific classification and obligations for developer tooling AI remain ambiguous pending EU AI Office guidance. | 低 | SR010, SR011 |
| CR010 | Semgrep's GDPR compliance requires Standard Contractual Clauses for international data transfers of EU customer code snippets; EU data residency is not yet available, creating procurement friction for GDPR-strict European enterprise customers. | 中 | SR022, SR009 |
| CR011 | Semgrep Assistant's dependency on OpenAI or Anthropic LLM APIs creates pricing risk (if LLM API costs increase), availability risk (LLM API outages impair Assistant), and data security risk (enterprise customers may block code snippet transmission to third-party LLM endpoints). | 中 | SR006, SR013 |
| CR012 | Semgrep's Pro rule registry supply chain represents a potential attack vector: a malicious rule injected into the Pro registry could execute arbitrary code in customer CI/CD pipelines; rule signing architecture has not been independently audited. | 低 | SR013, SR012 |
| CR013 | No major publicly disclosed security incidents or data breaches attributed to the Semgrep AppSec Platform have been identified as of May 2026; status.semgrep.dev shows historical uptime consistent with 99.9% SLA. | 中 | SR012, SR013 |
| CR014 | Opengrep's 3.15x performance benchmark claim, if independently verified, suggests Semgrep CE has accumulated technical debt in scan engine performance that could create enterprise deployment objections for large monorepos. | 低 | SR005, SR004 |
| CR015 | NIST NVD experienced significant CVE processing backlogs in 2024 (93% of CVEs published without full analysis within 30 days), impairing the timeliness of Semgrep Supply Chain reachability analysis for newly disclosed vulnerabilities. | 中 | SR019, SR018 |
| CR016 | Semgrep's primary CI/CD integration depends on GitHub Actions, GitHub App permissions, and GitHub webhook APIs; GitHub (Microsoft) is simultaneously Semgrep's largest platform dependency and its most direct competitive threat via GHAS. | 高 | SR006, SR007 |
| CR017 | Semgrep has not disclosed venture debt, convertible notes, or any non-equity financing; the company is fully equity-funded as of May 2026, creating dependency on Series E equity financing for continued operations. | 中 | SR014, SR025 |
| CR018 | Estimated top-10 customers represent 30–50% of Semgrep's $33.6M ARR; the loss of 2–3 named enterprise accounts would represent a material revenue decline at this stage. | 低 | SR015 |
| CR019 | If Opengrep secures major corporate backing (e.g., a large tech vendor or VC sponsor announces Opengrep investment), the competitive pressure on Semgrep's PLG funnel could accelerate materially. | 低 | SR004 |
| CR020 | The GitLab OEM integration (Semgrep rules in GitLab Ultimate SAST) represents a distribution channel dependency; GitLab could replace Semgrep rules with its own or CodeQL-based rules in future releases. | 低 | SR006 |
| CR021 | Isaac Evans (CEO) and Drew Dennison (CTO) are Semgrep's co-founding leadership with no disclosed succession plan; departure of either would create strategic and commercial discontinuity at a critical growth stage. | 中 | SR016, SR017 |
| CR022 | Garrett Souza was hired as VP Sales in early 2025 to build Semgrep's enterprise direct sales function; this represents a high-execution-risk transition for an engineering-led PLG company with limited prior direct enterprise sales infrastructure. | 中 | SR014, SR020 |
| CR023 | Semgrep's Pro Engine is implemented in OCaml, a specialized functional programming language with a very limited talent pool; OCaml engineers command premium salaries and compete against Jane Street, Meta, and other high-compensation employers. | 中 | SR016, SR017 |
| CR024 | Semgrep has no disclosed legal proceedings, SEC investigations, or enforcement actions as of May 2026; SEC EDGAR shows no public company filings for r2c / Semgrep consistent with private company status. | 中 | SR025, SR023 |
| CR025 | Semgrep's terms of service limit warranty and liability exposure for false negative scan results; legal exposure from a customer security breach attributable to Semgrep's missed detection is contractually limited but reputational exposure remains. | 中 | SR023 |
| CR026 | The primary thesis-break triggers are: (1) GitHub GHAS zero-cost bundling displacing Semgrep Teams, (2) ARR growth confirmed below 20% YoY, (3) LGPL litigation filed, (4) CEO or CTO departure. | 中 | SR006, SR001, SR014 |
| CR027 | Key monitoring indicators for Semgrep's investment thesis include: GitHub star growth rates (semgrep vs. opengrep), G2 rating trends, Semgrep job posting velocity by function, GHAS pricing announcements, and Latka ARR estimate updates. | 中 | SR015, SR005 |
| CR028 | At estimated $4–7M/month burn and $50–90M estimated cash on hand in May 2026, Semgrep's Series E financing window is approximately H1–H2 2027; failure to hit ARR milestones creates financing risk within this window. | 低 | SR014, SR015 |
| CR029 | No public evidence of customer churn from named Semgrep enterprise accounts (Figma, Dropbox, Snowflake, HashiCorp, GitLab, Shopify) as of May 2026; Semgrep customer page references remain current. | 低 | SR021, SR020 |
| CR030 | The residual investment risk after accounting for Semgrep's Pro Engine moat, $100M Series D runway, SOC 2 Type II certification, and G2 4.5/5 developer satisfaction is elevated but not prohibitive; the thesis requires confirmation of ARR growth, NRR, and continued enterprise pipeline momentum. | 中 | SR014, SR015 |
| CR031 | Semgrep's estimated monthly cash burn of $4–7M is inferred from 257 employees, an estimated average fully-loaded cost of $200–300K/employee/year, plus cloud and LLM API costs; this burn is not publicly confirmed. | 低 | SR015, SR029 |
| CR032 | Gartner's Application Security Testing Magic Quadrant positions GitHub GHAS, Snyk, and Checkmarx as established players with broader enterprise analyst coverage than Semgrep; Semgrep's absence from Gartner MQ recognition limits enterprise procurement committee shortlisting. | 中 | SR026 |
| CR033 | G2 reviews for Semgrep show 4.5/5 satisfaction with the most common complaints including false positive volume, complex rule authoring for custom policies, and steep learning curve for non-security engineers — representing adoption friction risks. | 中 | SR027 |
| CR034 | Semgrep's Wiz-comparison positioning as a complementary SAST tool to cloud security platforms (Wiz, Orca) is a risk mitigation: AppSec customers who prioritize CSPM/CNAPP are less likely to perceive Semgrep as redundant to their cloud security stack. | 低 | SR028 |
| CR035 | Semgrep's total investor base includes Menlo Ventures (Series D lead), Lightspeed, Redpoint, Sequoia Capital, Felicis Ventures, and Harpoon; the quality and diversification of institutional investors reduces single-investor leverage concentration risk. | 高 | SR029, SR014 |
| CR036 | Checkmarx has maintained enterprise AppSec market share with $150M+ ARR and a multi-decade enterprise customer base requiring dedicated implementation and professional services; Semgrep's lighter-weight implementation model creates risk of under-serving large legacy enterprise procurement requirements. | 中 | SR030, SR026 |
| CR037 | The EU AI Act's transparency obligations for limited-risk AI systems (including AI-generated content in developer tooling) require disclosure to users that content was AI-generated; Semgrep Assistant fix suggestions likely fall under this obligation and require disclosure labeling. | 低 | SR010 |
| CR038 | Semgrep has been cited in academic research and OWASP documentation as a community SAST tool, establishing a degree of third-party validation for its detection capabilities; no systematic false-negative audit has been publicly conducted. | 低 | SR013, SR021 |
| CR039 | Semgrep's lack of a disclosed patent portfolio means all IP protection relies on trade secret (Pro Engine source code, proprietary rule logic) and contractual restrictions; trade secret protection is weaker than patent protection against reverse engineering. | 中 | SR025, SR023 |
| CR040 | Semgrep's GDPR DPA includes Standard Contractual Clauses (SCCs) for EU-U.S. data transfers; the EU data residency gap (planned but not available) means that EU customers processing code with GDPR Art. 9 sensitive data may face procurement compliance barriers until residency is live. | 中 | SR022, SR010 |
| CV001 | Semgrep warrants a Conditional Interest investment recommendation pending data room confirmation of ARR, NRR, cash burn, and LGPL legal clearance; the thesis is investment-grade but not actionable at current public information quality. | 高 | SV010, SV004 |
| CV002 | The three data room confirmations required to convert Conditional Interest to Conviction Buy are: (1) NRR > 110%, (2) ARR growth > 50% YoY, and (3) LGPL-2.1 legal clearance from Semgrep counsel. | 中 | SV010 |
| CV003 | Net Revenue Retention is the single most important financial metric for resolving the investment recommendation uncertainty; NRR > 120% upgrades the recommendation to bull-case conviction; NRR < 100% is a pass signal regardless of ARR growth. | 高 | SV010, SV023 |
| CV004 | Information asymmetry is structurally disadvantageous for external investors: management has full access to ARR, NRR, churn, burn, and pipeline while public information is limited to crowdsourced estimates 9 months old. | 中 | SV010, SV016 |
| CV005 | The confidence level in the investment recommendation is Medium due to strong product and market evidence but entirely undisclosed financial performance metrics; this is not a low-confidence situation but requires financial confirmation. | 中 | SV010, SV023 |
| CV006 | The investment thesis requires Semgrep to capture enterprise AppSec budget in a $8.6B → $25B+ TAM at developer-friendly pricing ($30/contributor/month) that undercuts legacy vendors (Snyk $65–80K+, Checkmarx $100K+) while providing superior technical precision via the Pro Engine. | 中 | SV001, SV022 |
| CV007 | The anti-thesis is that GitHub's structural distribution advantage (50M+ developers) means GHAS will achieve functional parity with Semgrep Teams within 3 years at zero incremental cost for GitHub Enterprise customers, creating an asymmetric competitive threat that Semgrep cannot overcome with marketing or sales investment alone. | 中 | SV013, SV014 |
| CV008 | The Opengrep fork contributes to the anti-thesis by threatening Semgrep's PLG top-of-funnel CE developer acquisition channel; if Opengrep reaches critical mass, Semgrep's developer acquisition cost increases and Teams conversion slows. | 中 | SV010 |
| CV009 | Semgrep's Pro Engine technical moat (cross-file/function dataflow not available in GHAS or Opengrep CE) is the most important thesis-supporting evidence, but it does not address the distribution asymmetry risk from GitHub's enterprise market position. | 中 | SV013, SV022 |
| CV010 | No adverse analyst research or critical investment reporting on Semgrep was identified in public sources; the company's narrative is generally positive in the AppSec community, with criticism concentrated on the December 2024 license change and Opengrep fork response. | 中 | SV023, SV008 |
| CV011 | The bull case (20–25% probability) assumes 70–80% ARR CAGR reaching $100M+ by 2027, NRR > 120%, and a Series E at $1B+ in 2026–2027, leading to an IPO or strategic acquisition exit at $1.5–3B in 2027–2029 with 2–4x MOIC to Series D investors. | 低 | SV001, SV004 |
| CV012 | The base case (50–55% probability) assumes 40–60% ARR CAGR reaching $70–90M by 2027, NRR of 105–115%, and a strategic acquisition exit at $600M–$1.2B in 2028–2030 with 0.8–1.5x MOIC to Series D investors after Series E dilution. | 中 | SV004, SV010 |
| CV013 | The bear case (20–30% probability) assumes ARR growth stalls below 30%, NRR falls below 105%, Opengrep reaches critical mass, GHAS impairs enterprise pipeline, and a distressed exit at $200–350M in 2026–2028 returns 0.2–0.5x MOIC to Series D investors. | 低 | SV010, SV014 |
| CV014 | The base case requires a narrow conjunction of favorable conditions: Opengrep stays below critical mass, GHAS doesn't reach Pro Engine parity within 3 years, enterprise direct sales ramps successfully, and Series E is available at flat-to-up valuation. | 中 | SV013, SV021 |
| CV015 | The key swing factor between bull, base, and bear cases is NRR: at NRR > 120%, the base case upgrades to bull; at NRR < 105%, the base case degrades to bear — making NRR confirmation the highest-priority data room ask. | 高 | SV010, SV015 |
| CV016 | Semgrep's Series D post-money valuation is estimated at $400–750M based on the $100M raise size, Menlo Ventures' typical check-to-ownership ratio, and developer security comparables; this implies 12–22x ARR at the current $33.6M ARR estimate. | 低 | SV004, SV015 |
| CV017 | Snyk at $7.4B valuation on $350M+ ARR (~21x ARR) represents the premium endpoint for developer-first AppSec at scale; applying Snyk's multiple to Semgrep's $33.6M ARR implies $700M valuation only if ARR is growing 60%+ with 120%+ NRR. | 中 | SV001, SV002 |
| CV018 | Checkmarx's ~$1.15B acquisition by Hellman & Friedman at ~11.5x ARR sets a strategic M&A floor valuation for an enterprise AppSec platform when Semgrep reaches $100M ARR; at current ARR, Checkmarx implies a floor of ~$385M for comparable positioning. | 中 | SV003 |
| CV019 | Veracode's $550M acquisition by Broadcom at ~2x ARR (mature/declining product) sets an M&A floor of approximately $67M for Semgrep's current ARR, but this floor is inapplicable because Semgrep is a growth product — the relevant floor is 8–10x ARR, not 2x. | 中 | SV007 |
| CV020 | SonarSource's $412M fundraise from Warburg Pincus (2022) at $1B+ valuation on $100M+ ARR (~10x ARR) confirms investor appetite for developer code analysis platforms at scale and is partially applicable as a comps reference for Semgrep's trajectory. | 中 | SV006 |
| CV021 | The primary thesis-break triggers are: (1) GitHub GHAS zero-cost bundling for all GitHub Enterprise customers, (2) ARR growth confirmed below 20% YoY, (3) NRR confirmed below 100%, and (4) LGPL litigation filed — any single event would prompt investment exit or pass. | 高 | SV013, SV021 |
| CV022 | Palo Alto Networks is the most likely strategic acquirer at base case valuation ($600M–$1.2B): active AppSec M&A track record (Bridgecrew), Prisma Cloud platform expansion rationale, and financial capacity for mid-market security acquisitions. | 低 | SV011 |
| CV023 | CrowdStrike's Falcon platform is the second-most likely strategic acquirer: developer AppSec is adjacent to the Falcon security platform, and CrowdStrike has demonstrated willingness to acquire developer-facing security tooling. | 低 | SV012 |
| CV024 | IPO path requires $100M+ ARR with 40%+ growth, NRR > 115%, GAAP gross margin > 70%, succession planning for CEO/CTO, and FedRAMP Authorization — all of which are absent or unconfirmed as of May 2026; IPO is 2028+ at the earliest in the base case. | 中 | SV015, SV023 |
| CV025 | No evidence of secondary market transactions in Semgrep equity or strategic sale exploration has been identified in public sources as of May 2026; the company appears to be executing on the $100M Series D growth plan. | 低 | SV015, SV020 |
| CV026 | The quality of Semgrep's Series D investor syndicate (Menlo Ventures, Lightspeed, Redpoint, Sequoia Capital, Felicis) is high; top-tier institutional investor participation reduces single-investor leverage risk and provides strong network value for Series E and exit processes. | 高 | SV004, SV020 |
| CV027 | The $204M total capital raised creates meaningful preference overhang; in a bear case exit at $200–350M, common equity holders (employees, founders, early investors) receive substantially less than the liquidation preference stack, reducing effective Series D returns. | 中 | SV020, SV004 |
| CV028 | AppSec ARR multiples at $30–50M ARR range in the developer security category (2024–2025 data) span 12–25x ARR for companies growing 50%+, declining to 8–12x for companies growing 20–40%; at Semgrep's $33.6M ARR, this implies fair value between $400M (20% growth) and $840M (80% growth). | 低 | SV015, SV008 |
| CV029 | Enterprise security M&A activity in 2024–2025 included major platform consolidation (Palo Alto, CrowdStrike, Broadcom) and mid-market developer security acquisitions; the M&A exit market for developer AppSec platforms at $500M–$1.5B is active and liquid. | 中 | SV008, SV011 |
| CV030 | Semgrep's overall investment verdict is Conditional Interest — a strong growth-stage AppSec company with a genuine technical moat, investor-grade market position, and defensible PLG model, constrained by financial opacity, structural competitive risk from GHAS, and an information asymmetry that prevents unconditional conviction at any price. | 高 | SV004, SV010, SV021 |
| CV031 | At Semgrep's estimated $33.6M ARR and $400–750M post-money Series D valuation, the valuation is reasonable — not cheap and not egregiously expensive — compared to the developer security category; the return profile requires 50%+ ARR growth to achieve 2x+ MOIC from Series D entry. | 中 | SV015, SV004 |
| CV032 | Gartner's 2024 Magic Quadrant for Application Security Testing does not include Semgrep, limiting enterprise procurement committee visibility; Gartner MQ inclusion would be a positive valuation catalyst and a signal of enterprise sales maturity. | 中 | SV008, SV023 |
| CV033 | The probability-weighted expected return to Series D investors at current entry, assuming 25% bull (3x), 52% base (1.1x), and 23% bear (0.35x) probabilities, is approximately 1.4x MOIC — modest for a Series D given the elevated risk profile; warrant a higher return hurdle for conviction. | 低 | SV010, SV004 |
| CV034 | The most analogous public exit to Semgrep's current trajectory is HashiCorp's IPO at $5B valuation in 2021 at ~50x ARR (high growth premium) and its subsequent acquisition by IBM at $6.4B in 2024 — demonstrating both the upside and the time compression risk in developer infrastructure exits. | 低 | SV015, SV008 |
| CV035 | Semgrep's Series D disclosed participation by Menlo Ventures (lead), Lightspeed Venture Partners, Redpoint Ventures, Sequoia Capital, Felicis Ventures, and Harpoon Ventures — a tier-1 syndicate that independently validates the investment thesis and implies Series E is achievable. | 高 | SV004, SV005 |
| CV036 | If GHAS achieves cross-file dataflow analysis and adds it to all GitHub Enterprise plans (no confirmed roadmap announcement as of May 2026), Semgrep's primary technical moat is eliminated; monitoring GitHub security product announcements is a critical investment-monitoring task. | 中 | SV013, SV014 |
| CV037 | The Semgrep investment requires price discipline: at $400M post-money entry with $204M preference overhang, a 2x MOIC to Series D common equity requires an exit at approximately $1.2B+ net of dilution; this is achievable in the base/bull case but challenging in the bear case. | 低 | SV004, SV015 |
| CV038 | The most important evidence gap that differentiates the bull from the bear case is not product quality (established) or market size (confirmed) but whether Semgrep's enterprise sales motion is converting enterprise prospects faster than GHAS is displacing the same prospects. | 中 | SV010, SV022 |
| CV039 | No evidence of Semgrep exploring a sale or strategic merger process was identified in public sources as of May 2026; the company is in active growth mode with Series D capital deployed across headcount expansion and geographic growth. | 低 | SV004, SV005 |
| CV040 | The $204M raised across Series A–D, combined with a market cap estimate of $400–750M post-money Series D, implies Semgrep's investors collectively own 55–80% of the company (assuming typical dilution at each round); founders and employees own the remaining 20–45%. | 低 | SV020, SV004 |
| 编号 | 出版方 | 标题 | 引文 |
|---|---|---|---|
| SO001 | Semgrep | About | Semgrep | Founded by Drew Dennison, Isaac Evans, and Luke O'Malley in 2017, the company's mission has been to profoundly improve software security from day 1. |
| SO002 | Semgrep | Blog | Security Trends, Secure Coding, and Application Security Announcements | |
| SO003 | Semgrep | Pricing and Plans | AppSec Platform SAST, SCA, and Secrets | $30 / month per contributor |
| SO004 | GitHub / Semgrep | GitHub - semgrep/semgrep: Lightweight static analysis for many languages | Join hundreds of thousands of other developers and security engineers already using Semgrep at companies like GitLab, Dropbox, Slack, Figma, Shopify, HashiCorp, Snowflake, and Trail of Bits. |
| SO005 | Semgrep | Series D announcement | I'm delighted to announce we've raised a Series D, led by Menlo Ventures with participation from existing investors Felicis Ventures, Harpoon Ventures, Lightspeed Venture Partners, Redpoint Ventures, and Sequoia Capital. |
| SO006 | PR Newswire / Semgrep | Semgrep Announces $100M Series D Funding to Advance AI-Powered Code Security | this round brings the company's total funding to $204M to date |
| SO007 | Crunchbase News | Application Security Startup Semgrep Locks Down $100M Series D | Founded in 2017, Semgrep has raised $204 million, according to the company. |
| SO008 | MIT News | An open-source tool for software security | r2c Head of Product Luke O'Malley '14, who co-founded the company with Isaac Evans '13, SM '15 and Drew Dennison '13. |
| SO009 | Sacra | Semgrep funding, news & analysis | Semgrep sells to enterprise security and engineering teams via a B2B SaaS model priced per contributing developer per month. |
| SO010 | Tracxn | Semgrep - 2026 Company Profile & Team | Semgrep has 257 employees as of Mar 26. |
| SO011 | SecurityWeek | Semgrep Raises $100M for AI-Powered Code Security Platform | Semgre's funding comes shortly after a consortium of vendors launched a fork called Opengrep, leading to fresh debates about open-source licensing |
| SO012 | Semgrep | LinkedIn | ||
| SO013 | Menlo Ventures | Semgrep | Menlo Ventures | Isaac Evans - Co-Founder & CEO; Drew Dennison - Co-Founder & CTO; Luke O'Malley - Co-Founder & Chief Product Officer |
| SO014 | Socket | Opengrep Emerges as Open Source Alternative Amid Semgrep Licensing Controversy | On January 23, 2025, a coalition of security vendors launched Opengrep, an open source static application security testing (SAST) tool, as a direct response to recent licensing changes made by Semgrep. |
| SO015 | InfoQ | Opengrep Forks Semgrep to Liberate Rulesets After License Change | |
| SO016 | Semgrep | Careers | Semgrep | |
| SO017 | Sagetap | Founder Story: Semgrep | Sagetap | In 2017, the founders' experience in cybersecurity and engineering drove them to create a solution that both addresses security from the get-go and seamlessly integrates into the development cycle. |
| SO018 | Amplify Security | Announcing Opengrep: A True Open-Source Fork of Semgrep | December 2024 Semgrep announced a major change to their licensing model of its OSS project, they picked the friendly date of Friday the 13th. |
| SO019 | Silicon Valley Daily | Menlo Ventures Leads $100 Million Round in Semgrep | |
| SO020 | Opengrep | Opengrep - The open-source code security engine | We're launching Opengrep, a fork of Semgrep CE (formerly Semgrep OSS), in response to recent changes by Semgrep that affect its open-source nature. |
| SO021 | FinTech Global | Semgrep bags $100m in Series D to elevate AI-driven code security | |
| SO022 | G2 | The G2 on Semgrep | I like the SAST engine, it is powerful and capable alongside less % of false positives. |
| SO023 | AppSec Santa | OpenGrep vs Semgrep (2026): Fork vs Upstream Comparison | OpenGrep is a community fork of Semgrep Community Edition created in January 2025 after Semgrep moved cross-function taint analysis, fingerprinting, and other features behind the commercial platform. |
| SO024 | RegTech Analyst | Semgrep bags $100m in Series D to elevate AI-driven code security | |
| SO025 | CIO Influence | Semgrep Announces $100 Million Series D Funding to Advance AI-Powered Code Security | |
| SM001 | MarketsandMarkets | Application Security Testing Market worth $7.60 billion by 2031 | The application security testing market is projected to grow from USD 1.83 billion in 2025 to USD 7.60 billion by 2031, at a CAGR of 26.7% during the forecast period. |
| SM002 | Mordor Intelligence | DevSecOps Market Size & Growth Trends 2031 | The DevSecOps market size is expected to grow from USD 8.91 billion in 2025 to USD 10.88 billion in 2026 and is forecast to reach USD 29.52 billion by 2031 at 22.10% CAGR over 2026-2031. |
| SM003 | Grand View Research | Software Composition Analysis Market Size Report, 2030 | The global software composition analysis market size was estimated at USD 266.2 million in 2023 and is expected to grow at a CAGR of 19.8% from 2024 to 2030. |
| SM004 | Fortune Business Insights | Devsecops Market Size, Share and Global Growth Report [2034] | The global Devsecops market size was valued at USD 10.1 billion in 2025. The market is projected to grow from USD 11.49 billion in 2026 to USD 31.96 billion by 2034, exhibiting a CAGR of 13.65%. |
| SM005 | AppSec Santa | DevSecOps Statistics 2026: 60+ Key Facts, Trends & Data | 56% of developers say their organization has adopted a DevSecOps platform. 97% of codebases use open-source components (Black Duck OSSRA 2025). |
| SM006 | Latio | 2026 Latio Application Security Report | Application security is a discipline in crisis, as AI rapidly changes scanner capabilities and developer workflows. |
| SM007 | Veracode | Looking Ahead at 2026 with Gartner: How Smarter Teams and Tools Are Making Application Security a Breeze | 43% of organizations are still at the lowest maturity level when it comes to Application Security. 65% of engineering leaders say their teams are already using AI tools. |
| SM008 | Security Boulevard | Alert Fatigue and Talent Gaps Fuel AppSec Weaknesses | 62% of respondents said they had knowingly released vulnerable applications to meet deadlines. 58% of respondents report frequently encountering false positives. |
| SM009 | Endor Labs | Best Application Security Tools for DevSecOps in 2026 | Many enterprises manage seven or more distinct security tools with significant feature overlap creating data silos and adding operational overhead without corresponding security improvements. |
| SM010 | Futurum Group | Will EU Cyber Resilience Rules Force a Global Security Reset for Tech Vendors? | 73.2% of organizations expect to increase cybersecurity budgets in the next year, and 62.1% say AI-powered defensive tools are now a necessity. |
| SM011 | CloudAware | DevSecOps Statistics (2026): Market, Adoption, and AI Trends | 48% of the DevSecOps market is driven by cloud-native applications, and 28% by secure CI/CD automation. |
| SM012 | European Commission | Cyber Resilience Act - Implementation | |
| SM013 | Sonatype | 2026 State of the Software Supply Chain Report | Open Source Malware is a Nation-State Business Model: Attackers are exploiting high-trust open source ecosystems targeting credentials, CI secrets, and build environments. |
| SM014 | Coherent Market Insights | DevSecOps Market Size, Trends & Forecast, 2026-2033 | The global DevSecOps market is estimated to be valued at USD 11.07 Bn in 2026 and is expected to reach USD 26.05 Bn by 2033, exhibiting a CAGR of 13.0%. |
| SM015 | Business Research Insights | Application Security Testing (AST) Tools Market Report, 2026 | The global application security testing (ast) tools market size is anticipated to be worth USD 6.39 Billion in 2026, projected to reach USD 23.97 Billion by 2035 at a CAGR of 15.7%. |
| SM016 | MarketsandMarkets | Application Security Testing Market Report 2025-2030 | The application security testing market is projected to reach USD 7.60 billion by 2031 from USD 1.83 billion in 2025, at a CAGR of 26.7%. |
| SM017 | Offensive360 | AI-Powered SAST: The Future of Code Security in 2026 | Traditional SAST tools produce false positive rates between 30% and 70%, according to multiple industry studies. When every third alert is a false alarm, security teams stop trusting the tool. |
| SM018 | Research and Markets | DevSecOps Market Report 2026 | |
| SM019 | Mordor Intelligence | Software Composition Analysis Market Size, Share Research Report, 2031 | Mandatory Software Bills of Materials (SBOM) across federal and EU procurement frameworks, escalating supply-chain attacks targeting open-source ecosystems, and rising DevSecOps budgets sustain robust demand. |
| SM020 | GitHub | Octoverse 2024: AI leads Python to top language as the number of global developers surges | In early 2023, we celebrated reaching 100 million total developers on GitHub and that number has climbed at a rapid rate since then. In 2024, developers made more than 5.2 billion contributions. |
| SM021 | Black Duck (Synopsys) | 2026 OSSRA Report: Open Source Security & Risk Analysis | |
| SM022 | DevSecCops.ai | AI DevSecOps in 2026: Why Enterprises Are Moving Beyond Traditional DevSecOps | |
| SM023 | Sagetap | Founder Story: Semgrep | Semgrep identifies vulnerabilities early in development and prevents them from reaching production with precision and a developer-first approach. |
| SM024 | G2 | Semgrep Reviews | Developer-first — Fast scans, policies based on confidence rating, and the ability to run locally or in CI/CD environments mean Semgrep can integrate into dev workflows with minimal friction. |
| SM025 | Gartner | Best Application Security Testing Reviews 2026 | |
| SP001 | Semgrep | Semgrep Competitors: Alternatives and Similar Tools | |
| SP002 | AppSec Santa | Best SAST Tools 2026: Top Static Application Security Testing Software | |
| SP003 | Tracxn | Snyk 2026 Company Profile | Snyk's total funding is approximately $1.32 billion; valuation approximately $7.4 billion as of 2026. |
| SP004 | Sacra | Snyk revenue, valuation and funding | |
| SP005 | Latka | How Snyk hit $407.8M revenue in 2025 | Snyk hit $407.8M revenue and 5K customers in 2025. |
| SP006 | BusinessWire | Checkmarx One Surpasses $150M ARR and Expands Global Leadership in AI-Powered Application Security | Checkmarx One surpassed $150M ARR and achieved over 30% year-to-date ARR growth; adopted by more than 860 of the world's largest enterprises. |
| SP007 | Checkmarx | Checkmarx One: AI-Powered Application Security Platform | Checkmarx One routinely analyzes over 800 billion lines of code monthly, performs four million scans, and secures more than three million open-source packages. |
| SP008 | GitHub | Introducing GitHub Secret Protection and GitHub Code Security | GitHub Code Security is $30/active committer/month; GitHub Secret Protection is $19/active committer/month. |
| SP009 | GitHub | About billing for GitHub Advanced Security | |
| SP010 | Konvu | Semgrep vs CodeQL (2026): Technical Comparison for Security Teams | Many security teams use both: Semgrep for fast PR feedback, CodeQL for deep nightly analysis. |
| SP011 | Konvu | Semgrep vs SonarQube (2026): Technical Comparison for Security Teams | Benchmarks show Semgrep identifies more pure security issues (46% detection rate vs SonarQube's 19% in independent 2026 tests). |
| SP012 | SonarSource | Plans and Pricing: AI Code Verification at Scale | |
| SP013 | Opengrep | Opengrep GitHub Repository | |
| SP014 | AppSec Santa | OpenGrep vs Semgrep (2026): Fork vs Upstream Comparison | Over 2,100 GitHub stars, 26 releases, and 61 active contributors since its March 2025 launch. |
| SP015 | Endor Labs | Benchmarking Opengrep Performance Improvements | Benchmarks show Opengrep is up to 3.15x faster than Semgrep in some scenarios, especially with many local rules. |
| SP016 | Konvu | Semgrep vs SonarQube 2026 | |
| SP017 | Veracode | Veracode About | |
| SP018 | Endor Labs | About Endor Labs | |
| SP019 | Wiz | Wiz Code Security | |
| SP020 | PeerSpot | Semgrep vs SonarQube 2026 Comparison | |
| SP021 | Gartner | Best Application Security Testing Reviews 2026 | |
| SP022 | Secureit World | Checkmarx One Hits $150M ARR Milestone in App Security | |
| SP023 | Doyensec | Comparing Semgrep Pro and Community: Independent Research Whitepaper | |
| SP024 | Mend.io | Mend SCA - Software Composition Analysis | |
| SP025 | Latio | 2026 Latio Application Security Report | |
| SI001 | Latka | How Semgrep hit $33.6M revenue with a 210-person team in 2025 | Semgrep hit $33.6M revenue with a 210-person team in 2025. |
| SI002 | CBInsights | Semgrep (r2c) Financial Data | |
| SI003 | Crunchbase | Semgrep (r2c) Company Profile | |
| SI004 | PR Newswire | Semgrep Raises $100M Series D to Expand AI-Powered AppSec Platform | Semgrep will use the capital to accelerate talent acquisition in AI and program analysis, product awareness, and go-to-market team growth including geographic expansion in Europe and Asia-Pacific. |
| SI005 | Menlo Ventures | Semgrep Portfolio Page | |
| SI006 | Benchmarkit | 2025 SaaS Performance Metrics | Median net revenue retention for SaaS companies is approximately 101% in 2025; CAC payback period median is 20 months. |
| SI007 | Phoenix Strategy Group | Unit Economics Benchmarks for SaaS Growth | Healthy SaaS gross margin: above 70%; top performers in developer-focused SaaS often achieve 75–85% gross margins. |
| SI008 | KnowledgeLib | SaaS Industry Benchmarks 2026 — CAC, LTV, NRR, Churn | |
| SI009 | Bessemer Venture Partners | State of the Cloud 2025 | |
| SI010 | OpenView Partners | Product-Led Growth Benchmarks 2025 | PLG companies with developer-first free tiers typically achieve free-to-paid conversion rates of 3–8%. |
| SI011 | CloudZero | The Complete SaaS Unit Economics Guide (2026 Edition) | |
| SI012 | Semgrep | Semgrep Pricing | Teams tier: $30/month per contributor for Semgrep Code or Supply Chain; $15/month per contributor for Semgrep Secrets. |
| SI013 | G2 | Semgrep Pricing Plans and Cost | |
| SI014 | Tracxn | Semgrep Company Profile 2026 | Semgrep has 257 employees as of March 2026. |
| SI015 | Security Boulevard | Semgrep Raises $100M Series D | |
| SI016 | Sacra | Semgrep Revenue and Financials | |
| SI017 | Amplify Security | Series D Announcement — Semgrep | |
| SI018 | Lightspeed Venture Partners | Semgrep Series C Announcement | |
| SI019 | OpenView Partners | PLG Benchmarks | |
| SI020 | Semgrep | Managed Scanning Documentation | |
| SI021 | Latka | SaaS Revenue Database | |
| SI022 | Bessemer Venture Partners | Bessemer Cloud Index 2025 | |
| SI023 | Semgrep | Semgrep Blog — Series D Announcement | |
| SI024 | Menlo Ventures | Semgrep Investment Announcement | |
| SI025 | Semgrep | Semgrep Pricing Page (Teams and Enterprise) | |
| SI026 | Opengrep | Opengrep — Why We Forked Semgrep | Semgrep's December 2024 license restriction on the CE rules repository cut off open-source contributors and prompted the formation of the Opengrep fork with 2,100+ GitHub stars within weeks of launch. |
| SI027 | Delaware Division of Corporations | r2c (Semgrep) Delaware Entity Registration Filing | |
| SE001 | Semgrep | Semgrep Documentation — Overview | |
| SE002 | Semgrep | Semgrep Pro Engine Introduction | The Semgrep Pro Engine extends the OSS engine with cross-file and cross-function dataflow analysis, enabling detection of vulnerabilities that span multiple files and functions. |
| SE003 | Semgrep | Semgrep Supply Chain Overview | |
| SE004 | Semgrep | Semgrep Blog — Reachability Analysis | |
| SE005 | Semgrep | Semgrep Assistant Overview | |
| SE006 | Semgrep | Semgrep Blog — Introducing Semgrep Assistant | |
| SE007 | Semgrep | Semgrep Managed Scanning Documentation | |
| SE008 | Semgrep | Semgrep Integrations Overview | |
| SE009 | Semgrep | Semgrep Trust Center | |
| SE010 | Semgrep | Semgrep Security Policy | |
| SE011 | Opengrep | Opengrep Performance Benchmarks | Opengrep achieves 3.15x faster scan times than Semgrep CE on full-repository benchmarks across multiple test projects. |
| SE012 | Opengrep | Opengrep Fork Announcement | |
| SE013 | GitHub | GitHub Copilot Autofix Documentation | |
| SE014 | GitHub | GitHub Advanced Security — Code Scanning AI Features | |
| SE015 | Semgrep | Semgrep Supported Languages Documentation | Semgrep supports 40+ programming languages across GA, beta, and experimental maturity levels. |
| SE016 | Semgrep | Semgrep Changelog | |
| SE017 | Semgrep | Semgrep Pro Engine Blog Post | |
| SE018 | GitHub | Semgrep OSS Repository | 14,300+ GitHub stars; OCaml implementation; MIT/Semgrep OSL licensed. |
| SE019 | Semgrep | Semgrep Secrets Overview | |
| SE020 | Semgrep | Semgrep Triage and Remediation Documentation | |
| SE021 | Semgrep | Semgrep SSO Configuration Documentation | |
| SE022 | Semgrep | Semgrep IDE Extensions Overview | |
| SE023 | Semgrep | Semgrep Status Page | |
| SE024 | Semgrep | Semgrep Writing Rules Documentation | |
| SE025 | PR Newswire | Semgrep Raises $100M Series D | |
| SE026 | NIST | National Vulnerability Database — CVE Reference | |
| SE027 | OWASP | OWASP Top 10 2021 | |
| SE028 | Snyk | Snyk Open Source SCA Product | |
| SE029 | TechCrunch | Semgrep raises $100M Series D | |
| SE030 | G2 | Semgrep User Reviews | |
| SE031 | The Register | Semgrep $100M round: AI-assisted AppSec | |
| SU001 | Semgrep | Semgrep Customer Page | |
| SU002 | Semgrep | Semgrep at Figma — Case Study | Figma's security team uses Semgrep to enforce custom security rules at scale in CI/CD pipelines. |
| SU003 | Semgrep | Semgrep at Dropbox — Case Study | |
| SU004 | Semgrep | Semgrep Customer — HashiCorp | |
| SU005 | Semgrep | Semgrep Customer — Snowflake | |
| SU006 | G2 | Semgrep Reviews on G2 | Average rating 4.5/5 across 30+ verified user reviews on G2 as of early 2026. |
| SU007 | Gartner Peer Insights | Semgrep on Gartner Peer Insights | |
| SU008 | GitHub | Semgrep OSS Repository — GitHub Stars and Community Activity | 14,300+ GitHub stars; active community contributions. |
| SU009 | Semgrep | Semgrep Community Stats 2025 | 75M+ annual code scans; 3,000+ community rules; 40+ languages. |
| SU010 | Latka | Semgrep Revenue and Customer Data | Semgrep ~$33.6M ARR, 210 employees, as of September 2025. |
| SU011 | Tracxn | Semgrep Company Profile 2026 | Semgrep has 257 employees as of March 2026. |
| SU012 | Semgrep | Semgrep GitLab Integration Blog | |
| SU013 | GitLab | GitLab Ultimate SAST Documentation | |
| SU014 | Benchmarkit | 2025 SaaS Performance Benchmarks | Median SaaS NRR is approximately 101% in 2025. |
| SU015 | OpenView Partners | PLG Benchmarks 2025 | |
| SU016 | Opengrep | Opengrep Fork Announcement | Semgrep's December 2024 CE license restriction triggered the Opengrep fork; 2,100+ GitHub stars within weeks of launch. |
| SU017 | GitHub | Opengrep Repository | |
| SU018 | StackShare | Semgrep on StackShare | |
| SU019 | TrustRadius | Semgrep Reviews on TrustRadius | |
| SU020 | Capterra | Semgrep Reviews on Capterra | |
| SU021 | PeerSpot | Semgrep Reviews on PeerSpot | |
| SU022 | Semgrep | Semgrep Supply Chain Enterprise Case Study | |
| SU023 | Semgrep | Developer Adoption of Security Tooling — Semgrep Blog | |
| SU024 | InfoQ | Semgrep Static Analysis in Practice | |
| SU025 | PR Newswire | Semgrep Raises $100M Series D | |
| SR001 | The Register | Semgrep license change controversy — community backlash | Semgrep's decision to restrict the Community Edition rule repository license from LGPL-2.1 to a proprietary license drew community backlash and legal questions. |
| SR002 | Hacker News | HN Discussion: Semgrep license change December 2024 | |
| SR003 | Semgrep | Semgrep Blog — License Change Announcement and Response to Community | |
| SR004 | Opengrep | Why We Forked Semgrep | |
| SR005 | Opengrep | Opengrep Performance Benchmarks | Opengrep achieves 3.15x faster scan times than Semgrep CE on full-repository benchmarks. |
| SR006 | GitHub | GitHub Copilot Autofix Documentation | |
| SR007 | GitHub | GitHub Advanced Security — Code Security Features | |
| SR008 | FedRAMP | FedRAMP Marketplace | |
| SR009 | Semgrep | Semgrep Trust Center | |
| SR010 | EU AI Office | EU AI Act — Official Text and Overview | |
| SR011 | FTC | FTC — Artificial Intelligence and Competition | |
| SR012 | Semgrep | Semgrep Status Page — Historical Uptime | |
| SR013 | Semgrep | Semgrep Security Policy and Vulnerability Disclosure | |
| SR014 | PR Newswire | Semgrep Raises $100M Series D | |
| SR015 | Latka | Semgrep Revenue Estimate | |
| SR016 | Isaac Evans — CEO, Semgrep | ||
| SR017 | Drew Dennison — CTO, Semgrep | ||
| SR018 | CISA | SBOM and Software Supply Chain Security | |
| SR019 | NIST | National Vulnerability Database | |
| SR020 | TechCrunch | Semgrep Raises $100M Series D — Report | |
| SR021 | Dark Reading | Semgrep Application Security Coverage | |
| SR022 | Semgrep | Semgrep Privacy Policy | |
| SR023 | Semgrep | Semgrep Terms of Service | |
| SR024 | Semgrep | Semgrep Open Source License | |
| SR025 | SEC | SEC EDGAR — r2c / Semgrep filing search | |
| SR026 | Gartner | Magic Quadrant for Application Security Testing 2024 | |
| SR027 | G2 | Semgrep Reviews — G2 Platform | |
| SR028 | Wiz | Wiz Blog — State of Cloud Security 2025 | |
| SR029 | Crunchbase | Semgrep / r2c Funding History | |
| SR030 | Checkmarx | Checkmarx SAST Product Overview | |
| SV001 | TechCrunch | Snyk Reportedly Valued at $7.4 Billion | Snyk is reportedly valued at approximately $7.4 billion in recent secondary market transactions. |
| SV002 | Snyk | Snyk Fundraising and Company News | |
| SV003 | Business Wire | Checkmarx Strategic Acquisition by Hellman and Friedman | |
| SV004 | PR Newswire | Semgrep Raises $100M Series D — Full Release | |
| SV005 | Semgrep | Semgrep Blog — Series D Announcement | |
| SV006 | Bloomberg | SonarSource Raises $412M from Warburg Pincus for Code Quality Platform | |
| SV007 | Investors.Veracode | Veracode Acquisition by Broadcom 2023 | |
| SV008 | Gartner | Magic Quadrant for Application Security Testing 2024 | |
| SV009 | Orca Security | AppSec Market and Security Tooling Trends 2025 | |
| SV010 | Latka | Semgrep Revenue and ARR Estimate | |
| SV011 | Palo Alto Networks | Palo Alto Networks Acquires Bridgecrew | |
| SV012 | CrowdStrike | CrowdStrike Falcon Platform Security Coverage | |
| SV013 | GitHub | GitHub Copilot Enterprise Pricing | |
| SV014 | GitHub | GitHub Enterprise Cloud — Security Features | |
| SV015 | PitchBook | Developer Security Sector Valuations | |
| SV016 | Tracxn | Semgrep Company Profile and Funding | |
| SV017 | Wall Street Journal | Semgrep $100M Series D Coverage | |
| SV018 | Bloomberg | Semgrep AppSec Platform Series D Coverage | |
| SV019 | SEC | Semgrep / r2c SEC EDGAR | |
| SV020 | Crunchbase | r2c / Semgrep Funding History | |
| SV021 | TechCrunch | Semgrep Raises $100M Series D — TechCrunch | |
| SV022 | Semgrep | Semgrep Enterprise Product Page | |
| SV023 | Forrester | Semgrep Developer Security Coverage — Forrester | |
| SV024 | G2 | Semgrep Reviews G2 | |
| SV025 | OpenSSF | OpenSSF and Semgrep Security Integration | |
| SV026 | Opengrep | Opengrep — Why We Forked Semgrep | Opengrep achieves 3.15x faster scan times and is fully open-source under AGPLv3, addressing the restrictions Semgrep imposed in December 2024. |
| SV027 | The Register | Semgrep License Change Community Backlash | |
| SV028 | Hacker News | HN Discussion: Semgrep License Change December 2024 | |
| SV029 | SEC | SEC EDGAR — r2c / Semgrep filing lookup | |
| SV030 | Wiz | AppSec Market and Security Tooling Trends 2025 |