작성자 trailofbits
Semgrep 스킬로 코드베이스를 정적 분석할 수 있으며, 언어를 자동 감지하고 병렬 워커를 사용해 SARIF 결과를 병합하며, 계획 우선 승인 흐름을 따릅니다. Security Audit 워크플로용 semgrep에 맞춰 설계되었고, `run all`과 `important only` 모드를 지원하며, `--metrics=off`를 사용하고, 가능하면 Semgrep Pro도 활용할 수 있습니다.
작성자 trailofbits
sarif-parsing은 CodeQL, Semgrep 같은 도구의 SARIF 2.1.0 결과를 읽고, 필터링하고, 중복 제거하고, 요약하고, 변환하는 스캔 후용 skill입니다. 이미 스캔 결과가 있고 명확한 파싱, 집계, 또는 CI/CD에 바로 쓰기 좋은 변환이 필요할 때 사용하세요. 스캔 실행용은 아닙니다.
작성자 trailofbits
semgrep-rule-variant-creator는 적용 가능성 분석, 테스트 우선 검증, 그리고 규칙/테스트 분리 출력 방식으로 기존 Semgrep 규칙을 대상 언어로 이식하는 데 도움을 줍니다. 다언어 코드베이스 전반에서 Semgrep 규칙을 확장할 때, 새 규칙을 처음부터 만드는 것이 아니라 믿을 수 있는 가이드가 필요하다면 semgrep-rule-variant-creator 스킬을 사용하세요.
작성자 trailofbits
variant-analysis는 하나의 취약점이나 버그가 확인된 뒤, 코드베이스 전반에서 비슷한 문제를 찾아내는 데 도움을 줍니다. CodeQL 또는 Semgrep 쿼리를 만들고, 원인 분석을 먼저 하는 워크플로를 따르며, Security Audit 작업에 맞춘 집중형 variant-analysis 가이드를 실행할 때 유용합니다. 초기의 광범위한 검토보다, 발견 이후의 추적 검색에 가장 적합합니다.
