sarif-parsing

sarif-parsing 스킬 개요

sarif-parsing은 CodeQL, Semgrep 같은 도구가 생성한 SARIF 2.1.0 스캔 결과를 읽고, 필터링하고, 변환하는 데 유용한 실무형 스킬입니다. 이 스킬은 “스캔을 실행해야 한다”가 아니라 “이미 스캔 결과는 있는데, 이제 그걸 이해하고, 중복을 제거하고, 요약하고, 다른 형식으로 바꿔야 한다”는 상황에 맞게 써야 합니다.

이 스킬의 용도

이 스킬은 스캔이 끝난 뒤 실제 도입을 막는 지점들을 해결하는 데 도움을 줍니다. 잡음 많은 결과에서 핵심 신호를 뽑아내고, 여러 실행 결과를 비교하고, 파일 경로를 표준화하고, 발견 항목을 CI/CD나 후속 도구에 넘길 수 있게 정리하는 작업이 여기에 해당합니다. 여러 스캐너나 여러 저장소에서 일관된 SARIF 처리가 필요한 팀에 특히 유용합니다.

워크플로에서 어디에 맞는가

sarif-parsing은 스캔 이후 단계에 쓰는 워크플로 스킬입니다. SARIF를 생성해야 한다면 먼저 스캐너 전용 스킬을 사용하고, SARIF를 해석·집계·재구성해야 한다면 이 스킬이 맞습니다. 이 경계를 지키는 이유는 스캔 설정과 결과 처리를 섞지 않기 위해서입니다.

핵심 차별점

이 스킬은 즉흥적인 프롬프트 해석보다 반복 가능한 결과 처리가 필요할 때 가장 강합니다. SARIF 구조에 대한 구체적인 안내, 바로 쓸 수 있는 쿼리 패턴, 그리고 일반적인 파싱 작업을 돕는 헬퍼 유틸리티가 포함되어 있어, 단순히 “이 JSON 분석해줘”라고 하는 것보다 훨씬 실행 가능한 결과를 얻기 쉽습니다.

sarif-parsing 스킬 사용법

sarif-parsing 설치 및 활성화

일반적인 디렉터리 워크플로로 스킬을 설치합니다:

npx skills add trailofbits/skills --skill sarif-parsing

그다음 입력이 SARIF이고, 원하는 작업이 필터링·집계·중복 제거·변환 같은 파싱 작업임을 프롬프트에 분명히 밝힐 때 호출하세요. sarif-parsing 설치는 SARIF 아티팩트의 파일 경로를 명시할수록 가장 효과적입니다. 예를 들어 results.sarif나 CI 아티팩트 URL을 그대로 적어 두면 좋습니다.

올바른 입력을 주기

sarif-parsing을 잘 쓰려면 SARIF 파일, 도구 출처, 그리고 그 데이터로 무엇을 결정하려는지를 함께 줘야 합니다. 약한 요청은 “이 SARIF 분석해줘”입니다. 더 나은 요청은 “results.sarif에서 발견 항목을 중복 제거하고 ruleId 기준으로 묶은 뒤, 파일과 줄 번호가 포함된 error 수준의 항목만 고유값으로 돌려줘”처럼 구체적입니다. 변환 목표가 구체적일수록 스킬이 추측해야 할 부분은 줄어듭니다.

먼저 살펴볼 파일

Code Editing이나 자동화 작업에서 sarif-parsing을 실용적으로 쓰려면 먼저 SKILL.md를 확인하고, 이어서 복사해 쓸 수 있는 쿼리 패턴이 들어 있는 resources/jq-queries.md, 경로 정규화와 발견 항목 추출 로직이 있는 resources/sarif_helpers.py를 보세요. 이 파일들은 가볍게 저장소를 훑어보는 것보다 의도된 워크플로를 훨씬 잘 보여 주며, 프롬프트를 기존 유틸리티와 맞추는 데도 도움이 됩니다.

잘 작동하는 프롬프트 패턴

작업 이름, 대상 필드, 출력 형태를 함께 적는 프롬프트가 좋습니다. 예시는 다음과 같습니다.

• “이 SARIF를 파싱해서 ruleId별 고유값과 개수를 보여줘.”
• “경고와 오류만 필터링하고 파일 경로 기준으로 묶어줘.”
• “SARIF 발견 항목을 도구 이름, 규칙, 파일, 줄 번호가 들어간 CSV용 표로 바꿔줘.”
• “SARIF 파일 두 개를 비교해서 실행 간 사라진 발견 항목을 찾아줘.”

sarif-parsing 스킬 FAQ

sarif-parsing은 보안 스캐너 전용인가요?

아닙니다. CodeQL, Semgrep, 그리고 표준 SARIF를 내보내는 다른 도구를 포함해 SARIF를 생성하는 도구 전반에 쓸 수 있습니다. 다만 원시 결과를 그냥 훑는 것보다 후처리가 필요한 경우에 특히 가치가 큽니다.

언제 sarif-parsing을 쓰면 안 되나요?

스캔을 실행해야 하거나, 규칙을 작성해야 하거나, 소스 코드를 직접 검토해야 할 때는 sarif-parsing을 쓰지 마세요. 아직 SARIF 입력이 없을 때도 맞지 않습니다. 이 스킬은 이미 결과 파일이 존재한다는 전제를 깔고 있습니다.

일반 프롬프트보다 나은가요?

대체로 그렇습니다. sarif-parsing은 SARIF를 임의의 JSON으로 취급하지 않고, 그 구조와 흔한 작업 방식을 반영하기 때문입니다. 그래서 중복 제거, 심각도 필터링, 위치 추출 같은 작업에서 더 유리합니다. 일반 프롬프트는 이런 경우 필드를 놓치거나 출력 형식이 들쭉날쭉해지기 쉽습니다.

sarif-parsing은 초보자에게도 적합한가요?

네, 사용자가 SARIF 파일과 목표를 식별할 수 있다면 그렇습니다. 초보자는 한 번에 한 가지 변환만 요청할 때 가장 좋은 결과를 얻는 편입니다. 예를 들어 “개수 기준 상위 10개 규칙 보여줘” 또는 “src/ 안의 모든 발견 항목을 추출해줘”처럼 구체적으로 요청하세요. 요청이 명확할수록 이 스킬도 더 접근하기 쉽습니다.

sarif-parsing 스킬 개선 방법

변환을 정확히 지정하세요

sarif-parsing 결과를 가장 빠르게 개선하는 방법은 정확한 작업과 출력 형식을 지정하는 것입니다. “요약해줘” 대신 “ruleId로 묶고, 심각도별 개수를 세고, 마크다운 표로 돌려줘”라고 하세요. “발견 항목을 필터링해줘” 대신 적용할 규칙 ID, 수준, 경로 규칙을 구체적으로 적어야 합니다.

SARIF 맥락을 충분히 주세요

스캐너 이름, 알고 있다면 SARIF 버전, 그리고 경로가 저장소 기준인지, 절대 경로인지, URI 인코딩이 들어갔는지를 함께 주면 결과가 좋아집니다. 이런 맥락은 정규화, 중복 처리, 파일 매칭에서 잘못된 가정을 피하는 데 도움이 됩니다. SARIF 파싱에서 흔한 실패 지점이 바로 이런 부분입니다.

원시 발견 항목에서 의사결정까지 단계적으로 진행하세요

좋은 sarif-parsing 안내 워크플로는 먼저 발견 항목을 추출하고 정규화한 뒤, 집계하고, 마지막에 무시할 것과 올릴 것을 결정하는 순서입니다. 첫 출력이 너무 시끄럽다면 최종 보고서를 바로 요구하기보다 level, ruleId, 디렉터리, 도구 실행 단위로 좁혀 보세요. 이렇게 하면 한 번에 분류 문제를 해결하려고 하는 것보다 훨씬 선명한 신호를 얻을 수 있습니다.

자주 나오는 SARIF 함정을 조심하세요

가장 흔한 함정은 누락된 위치 정보, 하나의 파일에 여러 run이 들어 있는 경우, 도구 간 중복 결과, 그리고 매칭 전에 정규화가 필요한 파일 URI입니다. 출력이 불완전해 보인다면 모든 run을 반영하도록 요청하고, 정규화한 값과 원본 필드를 함께 보존해 달라고 하세요.