sarif-parsing

此技能作為 SARIF (Static Analysis Results Interchange Format) 2.1.0 標準的專門助手，具備解釋、篩選和轉換由 CodeQL、Semgrep 及各類弱點掃描工具生成的安全掃描資料的能力。它專為需要以程式化方式管理大規模安全發現的安全工程師、DevOps 專家及開發人員所設計。使用者可利用此技能自動化導入和分析靜態分析產出物，從而簡化 CI/CD 流水線中的安全反饋循環。

• 將多個分散的 SARIF 檔案中的發現彙整至單一資料集，以進行全面的弱點追蹤。

• 對警報進行智慧化去重，以消除干擾並降低跨多次掃描執行的誤報率。

• 使用 jq 等強大的 CLI 工具或進階 Python 函式庫，根據特定的嚴重等級、規則 ID 或檔案路徑篩選安全結果。

• 將 SARIF 輸出轉換為 CSV、HTML 等人類可讀的報告格式，或轉換為自訂 JSON 結構以進行儀表板整合。

• 使用 pysarif 或 sarif-tools 等 Python 函式庫以程式化方式存取 SARIF 資料模型，實現自訂分析工作流。

• 進行基準比較以偵測回歸，並驗證發現是新的漏洞還是先前已標記為忽略的結果。

• 請使用此技能來解析與解釋現有的 SARIF 輸出檔案；此技能不會執行新的安全掃描。

• 若要執行新的掃描，請使用市場中的相關 CodeQL 或 Semgrep 技能。

• 常見輸入包含包含掃描結果的 .sarif 或 .json 檔案；常見輸出包含篩選後的報告、統計摘要或修改後的結果檔案。

• 此技能提供對 OASIS SARIF 2.1.0 標準的深度支援，確保與工具無關的資料處理具備完全相容性。

• 非常適合涉及多種工具的安全流水線場景，在這些場景中，標準化不同的掃描格式以維持單一的事實來源至關重要。