par trailofbits
coverage-analysis vous aide à mesurer le code exercé pendant le fuzzing, à repérer des blocages comme les vérifications de valeurs magiques, et à comparer les évolutions d’un harness. Utilisez ce skill coverage-analysis dans les workflows Security Audit lorsque vous avez besoin d’une utilisation claire de coverage-analysis, de conseils d’installation et de décisions reproductibles pour le guide coverage-analysis.
par trailofbits
Semgrep skill pour l’analyse statique de codebases, avec détection automatique des langages, exécution parallèle, fusion des sorties SARIF et validation du plan avant exécution. Conçu pour les workflows semgrep pour Security Audit, il prend en charge les modes run all et important only, utilise `--metrics=off` et peut s’appuyer sur Semgrep Pro lorsqu’il est disponible.
par trailofbits
Le skill codeql vous aide à exécuter CodeQL avec moins d’angles morts lors d’un audit de sécurité. Il met l’accent sur la qualité de la base de données, le choix des suites, les extensions de données et la revue SARIF, afin de rendre l’usage de codeql plus fiable sur les langages pris en charge. Servez-vous-en pour suivre des étapes de guide codeql reproductibles lorsque vous analysez de vrais dépôts.
par trailofbits
variant-analysis vous aide à repérer des vulnérabilités et bugs similaires dans une base de code une fois qu’un premier problème a été confirmé. Servez-vous-en pour créer des requêtes CodeQL ou Semgrep, suivre une démarche centrée sur l’analyse de la cause racine et exécuter un guide ciblé de variant analysis pour un travail d’audit de sécurité. C’est surtout adapté aux recherches après découverte, pas à une revue initiale large.
