Semgrep

用于代码库静态分析的 Semgrep skill，具备自动语言检测、并行 worker、合并后的 SARIF 输出，以及先方案后审批的流程。面向 semgrep for Security Audit 工作流设计，支持 `run all` 和 `important only` 两种模式，使用 `--metrics=off`，并可在可用时利用 Semgrep Pro。

sarif-parsing 是一个扫描后的技能，用于读取、筛选、去重、汇总并转换来自 CodeQL、Semgrep 等工具的 SARIF 2.1.0 结果。适合你已经拿到扫描输出，并需要清晰的解析、聚合或面向 CI/CD 的转换时使用。它不用于执行扫描。

semgrep-rule-variant-creator 可帮助将现有 Semgrep 规则迁移到目标语言，并结合适用性分析、先测试后验证以及规则/测试分离输出来完成转换。当你需要一个可靠的指南，用于在多语言代码库中扩展 Semgrep 规则，而不是从零创建全新规则时，适合使用 semgrep-rule-variant-creator 这个技能。

variant-analysis 可在某个问题被确认后，帮助你在整个代码库中查找相似漏洞和缺陷。可用它来编写 CodeQL 或 Semgrep 查询，遵循先根因后扩展的工作流，并为 Security Audit 任务运行聚焦的 variant-analysis 指南。它更适合在发现问题后的定向搜索，不适合做大范围的初始审查。