Semgrep

Skill Semgrep cho phân tích tĩnh trên codebase, với tự động nhận diện ngôn ngữ, worker chạy song song, gộp đầu ra SARIF và phê duyệt trước khi lập kế hoạch. Được xây dựng cho quy trình Semgrep for Security Audit, skill này hỗ trợ chế độ run all và important only, dùng `--metrics=off`, và có thể tận dụng Semgrep Pro khi khả dụng.

sarif-parsing là một skill hậu quét dùng để đọc, lọc, khử trùng lặp, tóm tắt và chuyển đổi kết quả SARIF 2.1.0 từ các công cụ như CodeQL và Semgrep. Hãy dùng khi bạn đã có đầu ra quét và cần phân tích rõ ràng, tổng hợp hoặc chuyển đổi sẵn sàng cho CI/CD. Skill này không dùng để chạy quét.

semgrep-rule-variant-creator giúp chuyển các rule Semgrep hiện có sang ngôn ngữ đích với phân tích mức độ áp dụng, kiểm chứng theo hướng test-first, và tách riêng đầu ra rule/test. Hãy dùng skill semgrep-rule-variant-creator khi bạn cần một hướng dẫn đáng tin cậy để mở rộng rule Semgrep trên các codebase đa ngôn ngữ, chứ không phải để tạo một rule hoàn toàn mới từ đầu.

variant-analysis giúp bạn tìm các lỗ hổng và lỗi tương tự trên toàn bộ codebase sau khi đã xác nhận một vấn đề. Hãy dùng nó để xây dựng truy vấn CodeQL hoặc Semgrep, đi theo quy trình ưu tiên nguyên nhân gốc rễ, và chạy một hướng dẫn variant-analysis tập trung cho công việc Security Audit. Nó phù hợp nhất cho việc truy tìm sau khi đã phát hiện, không phải cho vòng rà soát ban đầu trên diện rộng.