Semgrep reduz em 75% o tempo de análise de taint com otimização multicore no OCaml 5.0

O Semgrep não só cortou 75% do tempo de análise de taint, ele resolveu um problema estrutural de segurança que vinha custando, em média, um terço do tempo total de CPU nas varreduras completas desde 2023. Antes da mudança, o motor rodava duas passagens distintas: uma intra-arquivo (rápida, mas limitada) e outra inter-arquivo (lenta, não paralelizável e memória-intensiva), só para garantir compatibilidade com regras antigas. Isso criava um gargalo silencioso: mesmo em ambientes multicore, a primeira passagem ficava presa em um único núcleo. Com o OCaml 5.0.0, cujo runtime multicore estável só foi adotado em larga escala por grandes usuários como Jane Street em 2025, a Semgrep finalmente pôde fundir as duas etapas em um único fluxo paralelizado, sem perda de precisão.

A otimização impacta diretamente a gestão de vulnerabilidades em produção: tempos máximos de varredura caíram de 12 horas fixas para valores variáveis, muitos abaixo de 6 horas, o que reduz drasticamente o risco de timeouts em monorepos e aplicações legadas. E isso não é só velocidade: menos timeouts significa mais dados de fluxo de dados reais, melhor treinamento de modelos de triagem (como o Semgrep Assistant AI Triage, lançado em fevereiro) e maior confiança nas métricas de remediação, algo que equipes de alto desempenho usam para manter taxas de correção 2,4× maiores em SAST, segundo nossa cobertura de abril.

Antes (fevereiro 2023, junho 2026): análise inter-arquivo exigia duas execuções independentes de taint, a primeira gerando assinaturas, a segunda reprocessando tudo em modo intra-arquivo para manter compatibilidade. O primeiro passe consumia ~33% do CPU total e não era paralelizável. Depois da atualização 1.158.0 (18/06/2026): uma única passagem unificada, totalmente paralelizada via Domain.spawn do OCaml 5.0, com ganhos reais de 25% no P95 e até 75% em repositórios pesados como os citados (ex.: 9h → 5h20m; 3h20m → 50m). A mudança não alterou resultados, apenas eliminou redundância técnica herdada de uma decisão de 2023 feita sob pressão de lançamento.

Em 2026, o mercado SAST cresce a 22,8% ao ano, impulsionado por regulamentações como a NIS2 e pelo aumento de código gerado por IA, justamente onde taint analysis é crítica para detectar injeções, XSS e deserializações inseguras. Ferramentas lentas são descartadas: se uma varredura demora mais de 10 minutos, 68% dos desenvolvedores ignoram o alerta ou pulam a etapa, segundo estudo da Snyk de maio. Ao reduzir o P99 de 45 para 35 minutos com consistência, o Semgrep evita esse 'desgaste operacional', mantendo o ciclo de feedback entre segurança e dev curto o suficiente para influenciar decisões reais de arquitetura. Isso transforma uma ferramenta de compliance em um mecanismo ativo de defesa corporativa.