sarif-parsing

此技能作为处理 SARIF (Static Analysis Results Interchange Format) 2.1.0 数据的一位专业助手。专为安全工程师和开发者设计，能够对来自 CodeQL、Semgrep 等静态分析工具的输出进行程序化解读。通过提供对扫描发现的结构化访问，用户可以执行复杂的数据操作、标准化和报告生成，而无需手动干预。在多工具并行的环境中，当需要统一不同警报格式以维持明确的安全态势时，此技能尤为价值。

• 使用 jq 等命令行工具对 SARIF 日志进行深度分析，实现快速探索。

• 通过 pysarif 和 sarif-tools 等库实现复杂的 Python 解析流水线，聚合多次扫描的结果。

• 自动化处理安全警报的去重，并根据规则 ID、严重程度 (error/warning/note) 或特定文件路径过滤噪音。

• 将 SARIF 发现的漏洞转换为 CSV 或 HTML 报告等易读格式，提升团队透明度。

• 提取指纹 (fingerprints)、部分指纹和构件位置 (artifact locations) 等元数据，以便跨分支或构建环境跟踪漏洞。

• 此技能旨在处理已生成的扫描结果；它不会直接执行静态分析扫描——若需执行扫描，请使用 Semgrep 或 CodeQL 等专用技能。

• 用户应熟悉 SARIF 2.1.0 规范结构，包括 runs、results 和 physicalLocation 元素的层级关系。

• 利用指纹技术进行基准对照、识别 pull request 中的回归错误，并维护已知误报的屏蔽列表。

• 确保输入文件为有效的 JSON SARIF 日志，以获得最佳解析性能。

• 利用所提供的策略将结果集成至 CI/CD 流水线中，根据安全严重程度阈值建立自动化质量关卡。