par trailofbits
Semgrep skill pour l’analyse statique de codebases, avec détection automatique des langages, exécution parallèle, fusion des sorties SARIF et validation du plan avant exécution. Conçu pour les workflows semgrep pour Security Audit, il prend en charge les modes run all et important only, utilise `--metrics=off` et peut s’appuyer sur Semgrep Pro lorsqu’il est disponible.
par trailofbits
sarif-parsing est un skill post-analyse pour lire, filtrer, dédupliquer, résumer et convertir des résultats SARIF 2.1.0 issus d’outils comme CodeQL et Semgrep. Utilisez-le lorsque vous disposez déjà d’une sortie d’analyse et que vous avez besoin d’un parsing clair, d’une agrégation ou d’une transformation prête pour CI/CD. Il ne sert pas à exécuter des scans.
par trailofbits
semgrep-rule-variant-creator aide à porter des règles Semgrep existantes vers des langues cibles, avec analyse d’applicabilité, validation en priorité par les tests et sorties séparées pour les règles et les tests. Utilisez le skill semgrep-rule-variant-creator lorsque vous avez besoin d’un guide fiable pour étendre des règles Semgrep sur des bases de code polyglottes, et non pour créer une règle entièrement nouvelle à partir de zéro.
par trailofbits
variant-analysis vous aide à repérer des vulnérabilités et bugs similaires dans une base de code une fois qu’un premier problème a été confirmé. Servez-vous-en pour créer des requêtes CodeQL ou Semgrep, suivre une démarche centrée sur l’analyse de la cause racine et exécuter un guide ciblé de variant analysis pour un travail d’audit de sécurité. C’est surtout adapté aux recherches après découverte, pas à une revue initiale large.
