Codeql

coverage-analysis vous aide à mesurer le code exercé pendant le fuzzing, à repérer des blocages comme les vérifications de valeurs magiques, et à comparer les évolutions d’un harness. Utilisez ce skill coverage-analysis dans les workflows Security Audit lorsque vous avez besoin d’une utilisation claire de coverage-analysis, de conseils d’installation et de décisions reproductibles pour le guide coverage-analysis.

Semgrep skill pour l’analyse statique de codebases, avec détection automatique des langages, exécution parallèle, fusion des sorties SARIF et validation du plan avant exécution. Conçu pour les workflows semgrep pour Security Audit, il prend en charge les modes run all et important only, utilise `--metrics=off` et peut s’appuyer sur Semgrep Pro lorsqu’il est disponible.

sarif-parsing est un skill post-analyse pour lire, filtrer, dédupliquer, résumer et convertir des résultats SARIF 2.1.0 issus d’outils comme CodeQL et Semgrep. Utilisez-le lorsque vous disposez déjà d’une sortie d’analyse et que vous avez besoin d’un parsing clair, d’une agrégation ou d’une transformation prête pour CI/CD. Il ne sert pas à exécuter des scans.

Le skill codeql vous aide à exécuter CodeQL avec moins d’angles morts lors d’un audit de sécurité. Il met l’accent sur la qualité de la base de données, le choix des suites, les extensions de données et la revue SARIF, afin de rendre l’usage de codeql plus fiable sur les langages pris en charge. Servez-vous-en pour suivre des étapes de guide codeql reproductibles lorsque vous analysez de vrais dépôts.

variant-analysis vous aide à repérer des vulnérabilités et bugs similaires dans une base de code une fois qu’un premier problème a été confirmé. Servez-vous-en pour créer des requêtes CodeQL ou Semgrep, suivre une démarche centrée sur l’analyse de la cause racine et exécuter un guide ciblé de variant analysis pour un travail d’audit de sécurité. C’est surtout adapté aux recherches après découverte, pas à une revue initiale large.