semgrep-rule-variant-creator

por trailofbits

O semgrep-rule-variant-creator ajuda a portar regras existentes do Semgrep para idiomas-alvo com análise de aplicabilidade, validação test-first e saídas separadas para regra e teste. Use o skill semgrep-rule-variant-creator quando você precisar de um guia confiável para expandir regras do Semgrep em codebases poliglotas, e não de uma regra nova do zero.

Estrelas5k

Favoritos0

Comentários0

Adicionado4 de mai. de 2026

CategoriaSecurity Audit

Comando de instalação

npx skills add trailofbits/skills --skill semgrep-rule-variant-creator

Pontuação editorial

Este skill recebe 78/100, o que o torna uma boa opção para quem precisa portar regras existentes do Semgrep para novos idiomas-alvo. O repositório traz detalhes suficientes do fluxo para reduzir a improvisação em comparação com um prompt genérico, embora quem adotar deva esperar um processo especializado, guiado por testes, e não um guia amplo de autoria de regras Semgrep.

78/100

Pontos fortes

Escopo e gatilho claros: foi criado explicitamente para portar regras existentes do Semgrep para idiomas-alvo específicos, e não para criar regras do zero.
Orientação operacional sólida: o conteúdo inclui análise de aplicabilidade, diretrizes de tradução de sintaxe entre linguagens e um fluxo em fases com validação test-first.
Bom valor para decisão de instalação: o repositório documenta entradas, saídas e quando não usar o skill, ajudando agentes a avaliar o encaixe rapidamente.

Pontos de atenção

É experimental e marcado para teste, então os usuários devem tratá-lo como um apoio a um fluxo especializado, e não como um skill geral totalmente refinado.
Não há comando de instalação nem automação de suporte, então a execução depende de o agente seguir manualmente as etapas documentadas.

Semgrep Rules Testing Validation Security Development

Visão geral

Visão geral da skill semgrep-rule-variant-creator

A skill semgrep-rule-variant-creator ajuda você a portar uma regra existente do Semgrep para um ou mais idiomas de destino, com análise de aplicabilidade e validação orientada por testes já embutidas no fluxo. Ela é ideal para engenheiros de segurança, times de AppSec e autores de regras que já têm uma regra funcionando e precisam de variantes confiáveis em outros idiomas, em vez de criar uma detecção do zero.

O trabalho real não é “escrever uma regra do Semgrep”, mas “descobrir se o mesmo padrão de vulnerabilidade ainda faz sentido em outro idioma e, então, traduzir a detecção sem quebrar a intenção”. Isso torna a semgrep-rule-variant-creator especialmente útil para manutenção de regras do Semgrep, expansão para novos idiomas e trabalho de semgrep-rule-variant-creator for Security Audit em bases de código poliglotas.

O que esta skill faz bem

Ela separa análise de tradução: primeiro verifica se o padrão se aplica, depois cria uma regra específica do idioma e um arquivo de teste correspondente. Isso reduz ports incorretos, especialmente em vulnerabilidades cujos sinks, sources ou sintaxe mudam entre idiomas.

Melhor encaixe para esta skill

Use a semgrep-rule-variant-creator skill quando você já conhece a regra de origem, o(s) idioma(s) de destino e o padrão de segurança deve ter um análogo significativo. Ela funciona bem para equipes que querem diretórios independentes de regra e teste para cada idioma, em vez de uma resposta pontual de prompt.

Quando ela não é uma boa escolha

Se você precisa de uma regra nova do zero, use uma skill de criação de regras. Se o idioma de destino não consegue expressar de forma realista a vulnerabilidade, ou se você só quer executar regras existentes sobre código, semgrep-rule-variant-creator não é a ferramenta certa.

Como usar a skill semgrep-rule-variant-creator

Instale e abra os arquivos de origem

Para semgrep-rule-variant-creator install, adicione a skill a partir do repositório de skills e depois inspecione primeiro os arquivos centrais:

npx skills add trailofbits/skills --skill semgrep-rule-variant-creator

Comece por SKILL.md, depois leia references/applicability-analysis.md, references/language-syntax-guide.md e references/workflow.md. Esses arquivos explicam o caminho de decisão, os cuidados na tradução de sintaxe e o fluxo fase a fase.

Dê à skill informações suficientes para funcionar

O padrão de uso semgrep-rule-variant-creator usage espera duas coisas essenciais: a regra original do Semgrep e a lista de idiomas de destino. Um pedido fraco é “porte esta regra para Java”. Um pedido mais forte é: “porte python/sql-injection para Go e Java, mantenha a semântica de taint quando possível e pule qualquer idioma em que o sink não seja comparável de forma significativa.”

Siga o fluxo na ordem certa

Use este guia como um ciclo de três etapas: confirme a aplicabilidade, crie os testes primeiro e só então escreva a regra e valide. O repositório recomenda explicitamente ciclos independentes por idioma, então não agrupe vários idiomas se um deles exigir pesquisa mais profunda de AST ou de sink.

Dicas que melhoram a qualidade da saída

Forneça o YAML original, qualquer arquivo de teste conhecido e a intenção de segurança em linguagem simples. Se a regra de origem depende de chamadas específicas de framework, mencione o framework e as APIs equivalentes esperadas no idioma de destino. Isso permite que a skill preserve a intenção da detecção em vez de copiar sintaxe que não vai compilar.

Perguntas frequentes sobre a skill semgrep-rule-variant-creator

Que problema a semgrep-rule-variant-creator resolve?

Ela transforma uma regra do Semgrep em variantes por idioma com validação, para que você possa ampliar a cobertura sem adivinhar se o padrão ainda se aplica. Para usuários de semgrep-rule-variant-creator guide, o valor principal é a tradução controlada, não um brainstorming genérico de regras.

Isso é melhor do que um prompt comum?

Sim, quando a tarefa envolve decisões de aplicabilidade, tradução consciente de AST e arquivos de teste. Um prompt comum costuma ignorar semântica específica de cada idioma; esta skill foi feita para capturar casos em que o padrão precisa mudar ou não deve ser portado de jeito nenhum.

Iniciantes conseguem usar?

Sim, desde que consigam fornecer uma regra de origem e um idioma de destino. A principal barreira não é apenas a sintaxe do Semgrep, mas entender se a classe da vulnerabilidade e o padrão de sink/source existem no novo idioma.

Quando eu não devo usar?

Não use semgrep-rule-variant-creator para ajustes pequenos de sintaxe dentro do mesmo idioma, ou quando o problema de segurança não se transfere de forma limpa. Se o padrão só é agnóstico em teoria, a etapa de aplicabilidade deve interromper o port antes que você perca tempo com uma variante ruim.

Como melhorar a skill semgrep-rule-variant-creator

Comece com um briefing mais preciso da regra de origem

Os melhores inputs nomeiam o ID da regra, o idioma original, a classe da vulnerabilidade e os idiomas de destino. Por exemplo: “porte django-sqli de Python para PHP e Ruby; preserve o fluxo de taint e identifique idiomas não aplicáveis antes de escrever testes.” Isso ajuda a semgrep-rule-variant-creator a focar nas relações certas entre sink e source.

Compartilhe as partes que costumam quebrar

Se a regra depende de helpers de framework, APIs de builder, interpolação de strings, reflexão ou execução de consultas, diga isso logo no início. São justamente esses pontos que fazem uma tradução literal de sintaxe falhar e onde a análise de aplicabilidade da skill mais importa.

Valide a primeira saída no seu repositório real

Use a primeira variante gerada para verificar se o arquivo de teste segue o estilo do seu projeto, se a regra está ampla demais e se o sink é aquele que seus revisores esperam. Se a saída parecer próxima, mas ruidosa, refine a regra de origem ou restrinja o cenário do idioma de destino antes de expandir mais.

Itere em precisão, não em volume

A melhoria mais útil normalmente é estreitar a intenção da regra, não pedir mais variantes. Se a primeira passada detecta o problema certo, mas gera sobreposição excessiva, forneça um sink mais específico, uma restrição de source mais forte ou um exemplo concreto de código da sua base para que a próxima passagem de semgrep-rule-variant-creator usage consiga afinar o padrão.

Avaliações e comentários

Ainda não há avaliações

Compartilhe sua avaliação

Faça login para deixar uma nota e um comentário sobre esta skill.

0/10000

Avaliações mais recentes

Salvando...

Mais skills nesta categoria

solana-vulnerability-scanner

por trailofbits

solana-vulnerability-scanner é uma skill focada de auditoria de segurança para Solana, voltada para programas nativos em Rust e Anchor. Ela ajuda a revisar lógica de CPI, validação de PDA, verificações de signer e ownership, além de spoofing de sysvar, para identificar seis vulnerabilidades críticas específicas de Solana antes do deploy.

Security Audit

Favoritos 0GitHub 4.9k

sharp-edges

por trailofbits

A skill sharp-edges ajuda você a encontrar APIs, configurações e interfaces em que o caminho mais fácil leva a um uso inseguro. Use-a para revisar fluxos de autenticação, wrappers criptográficos, padrões perigosos de default, semântica de null ou zero e escolhas de design propensas a uso indevido. É uma ótima opção para trabalhos de sharp-edges em Auditoria de Segurança quando você precisa de armadilhas concretas, não de palpites genéricos sobre segurança.

Security Audit

Favoritos 0GitHub 5k

security-review

por affaan-m

Use a skill security-review para revisar autenticação, entrada de usuário, segredos, APIs, pagamentos, uploads e outros fluxos sensíveis. Ela oferece um guia prático de revisão de segurança com checks claros de aprovação/reprovação, exemplos de padrões arriscados e um processo focado para identificar problemas comuns antes do lançamento.

Security Audit

Favoritos 0GitHub 156.3k

django-security

por affaan-m

django-security é um guia prático para fortalecer apps Django com autenticação, autorização, proteção contra CSRF e XSS, prevenção de SQL injection, cookies seguros e configurações de produção. Ele ajuda desenvolvedores e revisores a conduzir uma Security Audit focada, identificar rapidamente configurações arriscadas e aplicar correções concretas antes do deploy.

Security Audit

Favoritos 0GitHub 156.1k

ossfuzz

por trailofbits

Aprenda a skill ossfuzz para configuração de fuzzing contínuo, inscrição de projetos, planejamento de harnesses e revisão do fluxo de build. Este guia ajuda engenheiros de segurança e mantenedores a avaliar a prontidão, identificar bloqueios de build e preparar um caminho prático do código-fonte até o OSS-Fuzz ou uma infraestrutura privada de fuzzing.

Security Audit

Favoritos 0GitHub 5k

codeql

por trailofbits

O skill codeql ajuda você a usar o CodeQL com menos pontos cegos durante uma auditoria de segurança. Ele foca na qualidade do banco de dados, na seleção de suites, em extensões de dados e na revisão de SARIF, para que você possa usar o codeql de forma mais confiável entre as linguagens compatíveis. Use-o para seguir etapas repetíveis do guia codeql ao analisar repositórios reais.

Security Audit

Favoritos 0GitHub 5k

semgrep-rule-creator

por trailofbits

O semgrep-rule-creator cria regras do Semgrep com qualidade de produção para vulnerabilidades de segurança, padrões de bugs, detecções de taint-flow e padrões de codificação. Use o skill semgrep-rule-creator para trabalho de Auditoria de Segurança quando precisar de regras precisas, casos de teste e validação, em vez de um rascunho genérico.

Security Audit

Favoritos 0GitHub 5k

insecure-defaults

por trailofbits

A skill insecure-defaults ajuda a identificar padrões de configuração fail-open que fazem o software continuar executando com definições inseguras em vez de parar. Use em uma Security Audit de código em produção, configurações de deployment e lógica de tratamento de secrets para detectar autenticação fraca, secrets hardcoded e defaults permissivos.

Security Audit

Favoritos 0GitHub 5k

constant-time-analysis

por trailofbits

constant-time-analysis é uma skill de auditoria de segurança para encontrar riscos de side-channel de tempo em código criptográfico antes que virem bugs exploráveis. Use-a para revisar matemática, branches, comparações e saída compilada dependentes de segredo ao analisar C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python ou Ruby.

Security Audit

Favoritos 0GitHub 5k

secure-workflow-guide

por trailofbits

secure-workflow-guide orienta um fluxo de trabalho de segurança em 5 etapas para Solidity: triagem com Slither, checagens específicas por recurso, inspeção visual, anotações de propriedades de segurança e revisão manual. Foi feito para equipes de smart contracts, auditores e builders que querem um guia repeatable de secure-workflow-guide antes do deploy ou do release.

Security Audit

Favoritos 0GitHub 4.9k

algorand-vulnerability-scanner

por trailofbits

algorand-vulnerability-scanner é uma skill de auditoria de segurança para Algorand TEAL e PyTeal. Ela ajuda a identificar 11 problemas comuns, incluindo ataques de rekeying, lacunas na validação de taxas, checagens de campos e falhas de controle de acesso. Use a skill algorand-vulnerability-scanner para uma revisão prática inicial antes de uma auditoria manual.

Security Audit

Favoritos 0GitHub 4.9k

supabase-postgres-best-practices

por supabase

supabase-postgres-best-practices é uma skill de otimização de Supabase Postgres para ajuste de consultas, indexação, design de schema, desempenho de RLS, locking e gerenciamento de conexões.

Database Engineering

Favoritos 0GitHub 1.7k

entra-agent-id

por microsoft

entra-agent-id é uma skill de prévia do Microsoft Entra Agent ID para equipes de desenvolvimento backend que constroem identidades de agentes de IA compatíveis com OAuth2 usando Graph beta. Cobre configuração de blueprint, Blueprint principals, identidades de agente, permissões, sponsors, federação de identidade de workload e autenticação baseada em sidecar. Use para entender a instalação, o uso e as restrições de rollout do entra-agent-id.

Backend Development

Favoritos 0GitHub 0

token-integration-analyzer

por trailofbits

token-integration-analyzer é uma skill de revisão de segurança para implementações de tokens e integrações de tokens. Ela verifica conformidade com ERC20/ERC721, padrões de tokens incomuns, privilégios do owner, escassez e tratamento não padrão de tokens para fluxos de trabalho de Security Audit. Use o guia do token-integration-analyzer para reduzir suposições e avaliar o risco de compatibilidade.

Security Audit

Favoritos 0GitHub 4.9k

cosmos-vulnerability-scanner

por trailofbits

O cosmos-vulnerability-scanner encontra bugs críticos para o consenso em módulos do Cosmos SDK, contratos CosmWasm, integrações IBC e stacks Cosmos EVM. Use este guia do cosmos-vulnerability-scanner em fluxos de auditoria de segurança, análise de risco de paralisação da cadeia, caminhos de perda de fundos e revisões pré-lançamento.

Security Audit

Favoritos 0GitHub 4.9k

ruzzy

por trailofbits

ruzzy é uma skill de fuzzing em Ruby guiada por cobertura, voltada para testar código Ruby puro e extensões C para Ruby. Use o guia do ruzzy para configurar um ambiente Linux compatível, verificar a integração com sanitizers e montar fluxos de trabalho práticos de fuzzing para tarefas de Security Audit.

Security Audit

Favoritos 0GitHub 5k