Semgrep 1.100版本JSON输出格式变更解析

Semgrep作为一款流行的静态代码分析工具，在1.100版本中对JSON输出格式进行了重要调整。这一变更主要影响了未登录用户获取匹配代码行的方式，需要开发者特别注意。

核心变更内容

在1.100版本之前，Semgrep的JSON输出中会直接包含匹配到的代码行内容。但从该版本开始，未登录用户的JSON输出中，extra.lines字段将显示"requires login"而非实际代码内容。这一变更旨在区分社区版和商业平台的功能差异。

技术细节解析

虽然extra.lines字段现在需要登录才能获取完整内容，但关键的定位信息仍然对社区用户开放：

1. 匹配位置的行号(start.line和end.line)依然可用
2. 列号信息(start.col和end.col)保持完整
3. 匹配规则的消息描述不受影响

开发者可以通过行号信息结合源代码文件，轻松定位到问题代码位置。这种设计既保护了商业功能，又确保了社区版的核心定位功能不受影响。

影响评估

这一变更主要影响以下场景：

1. 自动化脚本中直接解析extra.lines字段的流程
2. 依赖完整代码行内容进行后续处理的工具链
3. 需要展示匹配代码片段的报告系统

对于大多数基础使用场景，由于行号信息仍然可用，实际影响有限。开发者只需调整解析逻辑，从直接使用代码内容改为通过行号定位即可。

解决方案建议

针对不同需求场景，开发者可以考虑以下解决方案：

1. 基础定位需求：直接使用行号信息，结合源代码文件查看具体内容
2. 自动化处理需求：根据行号信息自行提取代码内容
3. 完整功能需求：通过semgrep login登录或设置环境变量获取完整输出

这一变更体现了Semgrep在平衡社区功能和商业价值方面的考量，开发者理解这一设计后可以更好地规划工具使用策略。