semgrep

por trailofbits

Skill de Semgrep para análisis estático en bases de código, con detección automática de lenguaje, workers en paralelo, salida SARIF fusionada y aprobación previa del plan. Pensado para flujos de trabajo de auditoría de seguridad con semgrep, admite los modos run all e important only, usa `--metrics=off` y puede aprovechar Semgrep Pro cuando está disponible.

Estrellas5k

Favoritos0

Comentarios0

Agregado7 may 2026

CategoríaSecurity Audit

Comando de instalación

npx skills add trailofbits/skills --skill semgrep

Puntuación editorial

Este skill obtiene 78/100, una puntuación suficientemente sólida para aparecer en el directorio. El repositorio ofrece orientación real sobre el flujo de trabajo, controles de seguridad explícitos y lógica reutilizable de ejecución de Semgrep, así que un agente puede activarlo y ejecutarlo con menos incertidumbre que con un prompt genérico de análisis estático. Aun así, conviene leer la documentación del flujo antes de instalarlo, porque la configuración del análisis es opinada y de varios pasos.

78/100

Puntos fuertes

Orientación operativa sólida: el skill define un flujo de análisis de 5 pasos, que incluye detección de lenguaje, aprobación del plan, ejecución y fusión de resultados.
Buen encaje para agentes: admite subagentes en paralelo, detección automática de Pro y salida SARIF fusionada para bases de código multilenguaje.
Ayuda útil para decidir: las referencias enumeran reglas y modos de análisis, lo que facilita elegir entre cobertura completa y escaneos de alta confianza.

Puntos a tener en cuenta

No hay comando de instalación en `SKILL.md`, así que la adopción puede requerir más interpretación manual que un skill listo para usar.
El flujo está bastante guiado y exige aprobación explícita del usuario antes de analizar, lo que puede ralentizar ejecuciones simples y puntuales.

Semgrep Security Auditing Cli Static Analysis Taint Tracking Codeql Github Actions

Resumen

Descripción general de semgrep

Qué hace semgrep

El skill semgrep ejecuta análisis estático de Semgrep en una base de código con detección de lenguajes, workers en paralelo y resultados consolidados. Está pensado para un flujo real de auditoría de seguridad: encontrar vulnerabilidades, patrones riesgosos y bugs con más rapidez que un escaneo manual puntual.

Quién debería usarlo

Usa el skill semgrep si necesitas un práctico semgrep for Security Audit, quieres un proceso de escaneo repetible o necesitas ayuda para decidir qué rulesets y qué modo de análisis encajan con el repo. Resulta especialmente útil en proyectos multilenguaje, donde la ejecución en paralelo y los rulesets curados ahorran tiempo.

Qué lo hace diferente

Este skill no se limita a “ejecutar Semgrep”. Incorpora planificación del escaneo, pasos de aprobación, --metrics=off, soporte para Pro cuando está disponible y combinación de resultados. Eso importa cuando te preocupan la calidad de la auditoría, la privacidad y reducir intentos fallidos durante semgrep usage.

Cómo usar el skill semgrep

Instala y ubica el flujo de trabajo

Para semgrep install, añade el skill desde la ruta del repo en tu sistema de skills y luego lee primero SKILL.md. Después revisa references/rulesets.md, references/scan-modes.md, references/scanner-task-prompt.md y workflows/scan-workflow.md antes de ejecutar nada. Esos archivos explican las reglas de decisión, no solo la sintaxis de los comandos.

Dale al skill la entrada correcta

Un buen prompt debe incluir el repo objetivo, si quieres una auditoría completa o solo hallazgos de alta confianza, y cualquier restricción como escaneo offline o salida compatible con CI. Por ejemplo: “Escanea este repo en Python y JavaScript en busca de problemas de seguridad, prioriza el modo important-only y da prioridad a secretos, inyección y fallos de autenticación.” Eso es mejor que “run semgrep”, porque le indica al skill cómo elegir los rulesets.

Qué espera el flujo de escaneo

La guía de semgrep usa un flujo primero-planificar: detectar lenguajes, seleccionar modo y rulesets, presentar el plan para aprobación y luego ejecutar los escaneos y combinar resultados. En la práctica, eso significa que debes esperar un paso de confirmación antes de que empiece el escaneo. Si omites la aprobación, el flujo debería detenerse en lugar de adivinar.

Consejos prácticos que mejoran el resultado

Incluye siempre el directorio de destino previsto si ya lo tienes y sé explícito sobre si prefieres amplitud o precisión. Para auditorías de seguridad, important-only reduce el ruido; para una revisión más profunda, run all ofrece una cobertura más amplia. Si el repo tiene lenguajes con ecosistemas de seguridad conocidos, el skill puede combinar rulesets oficiales y de terceros para mejorar la cobertura.

Preguntas frecuentes sobre el skill semgrep

¿Semgrep es bueno para quienes empiezan?

Sí, si quieres un escaneo guiado en lugar de escribir a mano un comando complejo. El skill semgrep reduce la fricción de configuración al elegir un flujo de trabajo, pero aun así necesitas confirmar el plan de escaneo antes de ejecutarlo.

¿En qué se diferencia de un prompt normal para Semgrep?

Un prompt genérico suele pedir un escaneo y deja que el modelo improvise con los rulesets, el manejo de severidad y la combinación de resultados. Este skill añade controles de proceso explícitos, valores predeterminados más seguros como --metrics=off y una ruta repetible para semgrep usage en repos reales.

¿Cuándo no debería usarlo?

No uses este skill si solo necesitas una comprobación rápida de sintaxis, una prueba pequeña y ad hoc de una regla o una revisión de código que no sea de seguridad. Si ya conoces el comando exacto y el ruleset, quizá el skill aporte más proceso del que necesitas.

¿Sirve para todos los repos?

Funciona mejor en repositorios de código fuente donde el análisis estático puede detectar patrones de seguridad específicos por lenguaje. Es menos útil en proyectos solo de documentación, repos con mucho binario o casos en los que no hay un objetivo de código claro que analizar.

Cómo mejorar el skill semgrep

Sé específico con el objetivo de la auditoría

Los mejores resultados llegan cuando indicas qué te importa más: secretos, inyección, autenticación, transporte inseguro o una búsqueda amplia de vulnerabilidades. “Encuentra problemas de seguridad de alta confianza en la capa de API” es más sólido que “busca problemas”, porque ayuda al skill semgrep a elegir reglas y reducir hallazgos irrelevantes.

Aporta datos del repo que afecten a la elección de reglas

Dile al skill qué lenguajes, frameworks o superficies de despliegue importan. Un monolito en Python, un microservicio en Java y una app solo frontend necesitan prioridades de reglas distintas. Aquí es donde semgrep for Security Audit mejora de forma tangible: la elección de reglas debe seguir la superficie de ataque, no el hábito.

Vigila los fallos más comunes

Los riesgos principales son escaneos demasiado amplios, resultados ruidosos y saltarse el paso de aprobación. Si aparecen demasiados hallazgos de poco valor, cambia de run all a important-only o acota la solicitud a un subsistema concreto. Si el escaneo parece incompleto, comprueba que se leyó el árbol del repo y que los rulesets planificados coinciden con los lenguajes detectados.

Itera después del primer escaneo

Usa la primera ejecución para identificar qué categorías generaron hallazgos útiles y luego pide una segunda pasada centrada en esas áreas. Por ejemplo, después de un escaneo amplio, podrías pedir: “Vuelve a ejecutar semgrep solo sobre las rutas de autenticación y carga de dependencias, mantén las reglas de seguridad y excluye las comprobaciones de estilo.” Ese tipo de refinamiento suele ser mejor que empezar de cero.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

solana-vulnerability-scanner

por trailofbits

solana-vulnerability-scanner es un skill de auditoría de seguridad para Solana, enfocado en programas nativos en Rust y Anchor. Ayuda a revisar la lógica de CPI, la validación de PDA, las comprobaciones de firmante y propiedad, y el spoofing de sysvar para detectar seis vulnerabilidades críticas específicas de Solana antes del despliegue.

Security Audit

Favoritos 0GitHub 4.9k

sharp-edges

por trailofbits

La skill sharp-edges te ayuda a encontrar APIs, configuraciones e interfaces en las que el camino fácil acaba en un uso inseguro. Úsala para revisar flujos de autenticación, envoltorios criptográficos, valores predeterminados peligrosos, la semántica de null o cero y decisiones de diseño propensas a un uso incorrecto. Encaja especialmente bien para trabajos de sharp-edges en auditorías de seguridad cuando necesitas riesgos concretos de uso erróneo, no suposiciones genéricas sobre seguridad.

Security Audit

Favoritos 0GitHub 5k

security-review

por affaan-m

Usa la skill security-review para revisar autenticación, entrada de usuario, secretos, APIs, pagos, cargas de archivos y otros flujos sensibles. Ofrece una guía práctica de revisión de seguridad con comprobaciones claras de aprobado/rechazado, ejemplos de patrones de riesgo y un proceso enfocado para detectar problemas comunes antes del lanzamiento.

Security Audit

Favoritos 0GitHub 156.3k

django-security

por affaan-m

django-security es una guía práctica para reforzar apps de Django con autenticación, autorización, protección CSRF, prevención de XSS e inyección SQL, cookies seguras y ajustes de producción. Ayuda a desarrolladores y revisores a ejecutar una Security Audit enfocada, detectar rápido configuraciones de riesgo y aplicar correcciones concretas antes del despliegue.

Security Audit

Favoritos 0GitHub 156.1k

ossfuzz

por trailofbits

Aprende la skill de ossfuzz para configurar fuzzing continuo, registrar proyectos, planificar harnesses y revisar el flujo de compilación. Esta guía ayuda a ingenieros de seguridad y mantenedores a evaluar la preparación, detectar bloqueos de compilación y preparar una ruta práctica desde el árbol de código fuente hasta OSS-Fuzz o una infraestructura privada de fuzzing.

Security Audit

Favoritos 0GitHub 5k

codeql

por trailofbits

La skill de codeql te ayuda a ejecutar CodeQL con menos puntos ciegos durante una auditoría de seguridad. Se centra en la calidad de la base de datos, la selección de suites, las extensiones de datos y la revisión de SARIF, para que puedas usar codeql con más fiabilidad en los idiomas compatibles. Úsala para seguir pasos repetibles de la guía de codeql al analizar repositorios reales.

Security Audit

Favoritos 0GitHub 5k

semgrep-rule-creator

por trailofbits

semgrep-rule-creator crea reglas de Semgrep de calidad de producción para vulnerabilidades de seguridad, patrones de errores, detecciones de flujo de taint y estándares de codificación. Usa la skill semgrep-rule-creator para tareas de auditoría de seguridad cuando necesites reglas precisas, casos de prueba y validación, en lugar de un borrador genérico.

Security Audit

Favoritos 0GitHub 5k

insecure-defaults

por trailofbits

La skill insecure-defaults ayuda a detectar patrones de configuración fail-open que hacen que el software siga funcionando con ajustes inseguros en vez de detenerse. Úsala en una auditoría de seguridad de código en producción, configuraciones de despliegue y lógica de manejo de secretos para identificar autenticación débil, secretos incrustados y valores predeterminados demasiado permisivos.

Security Audit

Favoritos 0GitHub 5k

constant-time-analysis

por trailofbits

constant-time-analysis es una skill de auditoría de seguridad para detectar riesgos de canal lateral por temporización en código criptográfico antes de que se conviertan en fallos explotables. Úsala para revisar matemáticas dependientes de secretos, ramas, comparaciones y el código compilado al auditar C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python o Ruby.

Security Audit

Favoritos 0GitHub 5k

secure-workflow-guide

por trailofbits

secure-workflow-guide guía un flujo de trabajo de seguridad en Solidity en 5 pasos: triaje con Slither, comprobaciones específicas por función, inspección visual, notas sobre propiedades de seguridad y revisión manual. Está pensado para equipos de smart contracts, auditores y builders que quieren una guía secure-workflow-guide repetible antes del despliegue o del lanzamiento.

Security Audit

Favoritos 0GitHub 4.9k

algorand-vulnerability-scanner

por trailofbits

algorand-vulnerability-scanner es una skill de auditoría de seguridad para Algorand TEAL y PyTeal. Ayuda a detectar 11 problemas comunes, incluidos ataques de rekeying, fallos en la validación de fees, comprobaciones de campos y errores de control de acceso. Usa la skill algorand-vulnerability-scanner como una revisión práctica inicial antes de una auditoría manual.

Security Audit

Favoritos 0GitHub 4.9k

supabase-postgres-best-practices

por supabase

supabase-postgres-best-practices es una skill de optimización de Supabase Postgres para ajustar consultas, indexación, diseño de esquemas, rendimiento de RLS, bloqueos y gestión de conexiones.

Database Engineering

Favoritos 0GitHub 1.7k

entra-agent-id

por microsoft

entra-agent-id es una skill de vista previa de Microsoft Entra Agent ID para equipos de desarrollo backend que crean identidades de agentes de IA con capacidad OAuth2 usando Graph beta. Cubre la configuración de blueprints, blueprint principals, identidades de agente, permisos, sponsors, federación de identidad de workload y autenticación basada en sidecar. Úsala para entender la instalación, el uso y las limitaciones de despliegue de entra-agent-id.

Backend Development

Favoritos 0GitHub 0

token-integration-analyzer

por trailofbits

token-integration-analyzer es una skill de revisión de seguridad para implementaciones e integraciones de tokens. Verifica la conformidad con ERC20/ERC721, patrones de tokens inusuales, privilegios del owner, escasez y el manejo de tokens no estándar en flujos de trabajo de Security Audit. Usa la guía de token-integration-analyzer para reducir la incertidumbre y evaluar el riesgo de compatibilidad.

Security Audit

Favoritos 0GitHub 4.9k

cosmos-vulnerability-scanner

por trailofbits

cosmos-vulnerability-scanner detecta fallos críticos para el consenso en módulos de Cosmos SDK, contratos CosmWasm, integraciones IBC y stacks de Cosmos EVM. Usa esta guía de cosmos-vulnerability-scanner para flujos de trabajo de auditoría de seguridad, riesgos de parada de cadena, rutas de pérdida de fondos y revisiones previas al lanzamiento.

Security Audit

Favoritos 0GitHub 4.9k

ruzzy

por trailofbits

ruzzy es un skill de fuzzing de Ruby guiado por cobertura para probar código Ruby puro y extensiones C de Ruby. Usa la guía de ruzzy para configurar un entorno Linux compatible, verificar la integración de sanitizers y crear flujos de trabajo de fuzzing prácticos para tareas de Security Audit.

Security Audit

Favoritos 0GitHub 5k