Taint Tracking

Semgrep 스킬로 코드베이스를 정적 분석할 수 있으며, 언어를 자동 감지하고 병렬 워커를 사용해 SARIF 결과를 병합하며, 계획 우선 승인 흐름을 따릅니다. Security Audit 워크플로용 semgrep에 맞춰 설계되었고, `run all`과 `important only` 모드를 지원하며, `--metrics=off`를 사용하고, 가능하면 Semgrep Pro도 활용할 수 있습니다.

codeql 스킬은 보안 감사 중 CodeQL을 더 적은 사각지대로 실행할 수 있게 도와줍니다. 데이터베이스 품질, suite 선택, 데이터 확장, SARIF 검토에 초점을 맞춰 지원되는 언어 전반에서 codeql 사용을 더 안정적으로 활용할 수 있게 합니다. 실제 저장소를 분석할 때 반복 가능한 codeql 가이드 절차가 필요하다면 사용하세요.