semgrep

此技能利用 Semgrep 执行高效能静态分析稽核，专为复杂的多语言代码库所设计。它自动化了安全扫描的整个生命周期，从环境检测与 Semgrep Pro 验证，到并行执行与结果聚合。该工具旨在无缝整合至 AI 辅助的安全工作流程中，通过严格强制停用遥测功能，并在触发扫描任务前要求人工审核，确保静态分析既全面又安全。

• 自动检测编程语言并检查 Semgrep Pro 可用性，以启用进阶的跨文件污染分析与跨程序安全检查。

• 支持两种主要扫描模式：“执行全部 (run all)”以进行全面的规则集覆盖，以及“仅限重要项目 (important only)”以针对高信心安全弱点进行检测。

• 通过针对不同语言组件产生多个任务子代理来实现并行执行，显著缩短大型专案的扫描时间。

• 处理输出管理，包括建立独立目录、记录已核准的规则集，并将扫描结果合并为标准化 SARIF 输出文件，以便于审查。

• 强制执行严格的安全卫生措施，例如停用遥测 (--metrics=off) 以防止数据外泄，并要求用户明确核准扫描计划，确保稽核过程在受控且有意图的情况下进行。

• 适用于安全工程师、稽核人员与开发人员，进行第一阶段静态分析、弱点研究或安全代码审查。

• 要求环境中安装 Semgrep CLI；建议使用 Semgrep Pro 授权以获得最佳的弱点检测效能。

• 以多步骤编排运作：步骤 1 (检测)、步骤 2 (模式选择)、步骤 3 (人工审核硬闸)、步骤 4 (并行执行)、步骤 5 (结果合并)。

• 用户应避免将此技能用于二进制文件分析，或在需要自订规则建立时（应改用 semgrep-rule-creator）。

• 除非在提示中指定输出目录，否则默认输出至版本化文件夹 (static_analysis_semgrep_N)。

• 适用于安全稽核、寻找已知错误模式，以及在发送 Pull Request 审查前确保代码质量。