Taint Tracking

コードベースに対する静的解析を行うためのSemgrepスキルです。言語の自動判定、並列ワーカー、統合されたSARIF出力、そして事前計画ベースの承認フローを備えています。Security Audit のワークフロー向けに設計されており、`run all` と `important only` のモードをサポートし、`--metrics=off` を使用します。利用可能な場合は Semgrep Pro も活用できます。

codeql スキルは、セキュリティ監査で CodeQL を使う際の見落としを減らすのに役立ちます。データベース品質、suite の選定、data extensions、SARIF レビューに重点を置き、対応言語全体で codeql の利用をより確実に進められるようにします。実際のリポジトリを解析するときに、再現性のある codeql 手順として活用してください。