Semgrep

Semgrep 的靜態分析技能，適用於程式碼庫，具備自動語言偵測、平行工作者、合併 SARIF 輸出與先規劃後核准流程。這套技能是為 Semgrep Security Audit 工作流程而設計，支援 run all 與 important only 模式，使用 `--metrics=off`，並可在可用時善用 Semgrep Pro。

sarif-parsing 是一個掃描後技能，用來讀取、篩選、去重、摘要與轉換來自 CodeQL、Semgrep 等工具的 SARIF 2.1.0 結果。當你已經有掃描輸出，並且需要清楚的解析、彙整，或可直接用於 CI/CD 的轉換時，就適合使用它。它不負責執行掃描。

semgrep-rule-variant-creator 可協助你將既有的 Semgrep 規則移植到目標語言，並搭配適用性分析、先測後改的驗證流程，以及規則／測試分離輸出。當你需要一份可靠的指南，協助在多語言程式碼庫中擴充 Semgrep 規則，而不是從零開始建立全新規則時，這個 semgrep-rule-variant-creator 技能就很適合。

variant-analysis 可在某個問題已確認後，協助你在整個程式碼庫中找出相似的漏洞與錯誤。可用來建立 CodeQL 或 Semgrep 查詢、採用以根因優先的工作流程，並執行聚焦的 variant-analysis 指南來支援 Security Audit 工作。它最適合用在發現問題之後的延伸搜尋，不適合用於廣泛的初始審查。