von trailofbits
Semgrep-Skill für statische Analysen von Codebasen mit automatischer Spracherkennung, parallelen Workern, zusammengeführter SARIF-Ausgabe und planbasierter Freigabe vor dem Start. Entwickelt für Semgrep-Workflows im Security-Audit-Kontext, unterstützt es die Modi „run all“ und „important only“, verwendet `--metrics=off` und kann bei Verfügbarkeit Semgrep Pro nutzen.
von trailofbits
sarif-parsing ist ein Post-Scan-Skill zum Lesen, Filtern, Deduplizieren, Zusammenfassen und Konvertieren von SARIF-2.1.0-Ergebnissen aus Tools wie CodeQL und Semgrep. Verwende ihn, wenn du bereits Scan-Ausgaben hast und eine klare Analyse, Aggregation oder eine CI/CD-taugliche Umwandlung benötigst. Er ist nicht für das Ausführen von Scans gedacht.
von trailofbits
semgrep-rule-variant-creator hilft dabei, bestehende Semgrep-Regeln mit Applicability-Analyse, testfirst Validierung und getrennten Rule-/Test-Ausgaben auf Zielsprachen zu übertragen. Verwenden Sie die semgrep-rule-variant-creator Skill, wenn Sie einen verlässlichen Leitfaden für die Erweiterung von Semgrep-Regeln über polyglotte Codebasen hinweg benötigen und keine völlig neue Regel von Grund auf erstellen wollen.
von trailofbits
variant-analysis hilft dir, nach einem bestätigten Fund ähnliche Schwachstellen und Bugs im gesamten Codebase zu finden. Nutze es, um CodeQL- oder Semgrep-Queries zu erstellen, einem Root-Cause-first-Workflow zu folgen und einen fokussierten variant-analysis-Guide für Security-Audit-Arbeiten auszuführen. Es eignet sich am besten für die Suche nach einem bereits entdeckten Problem, nicht für eine breite Erstprüfung.
