sarif-parsing

此技能作为 SARIF (Static Analysis Results Interchange Format) 2.1.0 标准的专门助手，具备解释、过滤和转换由 CodeQL、Semgrep 及各类漏洞扫描工具生成的安全扫描数据的能力。它专为需要以程序化方式管理大规模安全发现的安全工程师、DevOps 专家及开发人员所设计。用户可利用此技能自动化导入和分析静态分析产出物，从而简化 CI/CD 流水线中的安全反馈循环。

• 将多个分散的 SARIF 文件中的发现汇总至单一数据集，以进行全面的漏洞追踪。

• 对警报进行智能化去重，以消除干扰并降低跨多次扫描执行的误报率。

• 使用 jq 等强大的 CLI 工具或高级 Python 库，根据特定的严重等级、规则 ID 或文件路径过滤安全结果。

• 将 SARIF 输出转换为 CSV、HTML 等人类可读的报告格式，或转换为自定义 JSON 结构以进行仪表板集成。

• 使用 pysarif 或 sarif-tools 等 Python 库以程序化方式访问 SARIF 数据模型，实现自定义分析工作流。

• 进行基准比较以检测回归，并验证发现是新的漏洞还是先前已标记为忽略的结果。

• 请使用此技能来解析与解释现有的 SARIF 输出文件；此技能不会执行新的安全扫描。

• 若要执行新的扫描，请使用市场中的相关 CodeQL 或 Semgrep 技能。

• 常见输入包含包含扫描结果的 .sarif 或 .json 文件；常见输出包含过滤后的报告、统计摘要或修改后的结果文件。

• 此技能提供对 OASIS SARIF 2.1.0 标准的深度支持，确保与工具无关的数据处理具备完全兼容性。

• 非常适合涉及多种工具的安全流水线场景，在这些场景中，标准化不同的扫描格式以维持单一的事实来源至关重要。