semgrep

此技能为 Semgrep CLI 提供了一个强大且以安全为重点的封装，针对自动化代码审计和漏洞搜索进行了优化。它专为需要高效地对复杂的多语言代码库进行静态分析的安全工程师和开发人员而设计。通过利用子代理的并行执行，它减少了大型存储库的扫描时间，同时确保高置信度的结果。此技能管理安全审计的端到端生命周期，包括自动环境检测、规则集管理，以及将发现结果合并为行业标准的 SARIF 格式，以便与现有的安全流程集成。

• 在不同语言之间执行并行 Semgrep 扫描器，以最大化审计任务期间的性能。

• 自动检测并利用 Semgrep Pro 功能（例如跨文件污染分析），以识别复杂的程序间安全漏洞。

• 强制执行严格的安全最佳实践，包括强制使用 --metrics=off 标志以防止敏感数据泄露，并对每个扫描计划实施严格的审核批准流程。

• 整合来自 Trail of Bits、0xdea 和 Decurity 等知名安全组织的基本第三方规则集，以扩展超出标准注册表的检测覆盖范围。

• 使用专用 Python 脚本处理输出管理、目录创建以及自动 SARIF 结果合并。

• 在代码库范围的安全审计、代码审查前的漏洞发现，以及识别已知错误模式时使用此技能。

• 代理在执行任何扫描工具之前，需要用户明确批准扫描计划，以确保分析是受控且有意的。

• 此技能区分“执行全部”(完整覆盖) 和“仅重要”(高置信度/影响力的安全发现) 模式，以平衡噪声与信号。

• 需要 Semgrep CLI 和选配的 Pro 访问权；结果会保存到版本化的输出目录 (例如 ./static_analysis_semgrep_n)。

• 不适用于二进制分析或已配置 CI/CD 流水线的情况；请使用专用技能进行自定义规则创建或变体分析。