作成者 trailofbits
コードベースに対する静的解析を行うためのSemgrepスキルです。言語の自動判定、並列ワーカー、統合されたSARIF出力、そして事前計画ベースの承認フローを備えています。Security Audit のワークフロー向けに設計されており、`run all` と `important only` のモードをサポートし、`--metrics=off` を使用します。利用可能な場合は Semgrep Pro も活用できます。
作成者 trailofbits
sarif-parsing は、CodeQL や Semgrep などのツールが出力した SARIF 2.1.0 結果を、読み取り・フィルタリング・重複排除・要約・変換するためのスキャン後スキルです。すでにスキャン結果があり、わかりやすい解析、集約、または CI/CD 向けの変換が必要な場合に使います。スキャン自体を実行する用途ではありません。
作成者 trailofbits
semgrep-rule-variant-creator は、適用可能性の分析、テスト先行の検証、ルールとテストの分離出力を通じて、既存の Semgrep ルールを対象言語へ移植するのに役立ちます。多言語コードベース全体で Semgrep ルールを拡張したいとき、ゼロから新規ルールを作るのではなく、信頼できるガイドが必要ならこの semgrep-rule-variant-creator スキルが適しています。
作成者 trailofbits
variant-analysis は、1件の問題が確認されたあとに、コードベース全体から類似の脆弱性やバグを見つけるのに役立ちます。CodeQL や Semgrep のクエリ作成、原因起点のワークフロー、Security Audit 向けの集中的な variant-analysis ガイド実行に使えます。新規の広範な初回レビューよりも、発見後の横展開調査に最適です。
