sarif-parsing

此技能作為處理 SARIF (Static Analysis Results Interchange Format) 2.1.0 資料的專門助手。專為資安工程師與開發者設計，能對來自 CodeQL、Semgrep 等靜態分析工具的輸出進行程式化解釋。透過提供結構化的分析結果存取方式，使用者可執行複雜的資料處理、標準化與報告產出，無需手動操作。在多工具並行的環境中，當需要統整不同警報格式以維持清晰的安全狀態時，此技能尤為重要。

• 使用 jq 等指令列工具對 SARIF 日誌進行深度分析，實現快速探索。

• 透過 pysarif 與 sarif-tools 等函式庫實現複雜的 Python 解析管線，聚合多次掃描的結果。

• 自動化處理安全警報的去重，並根據規則 ID、嚴重程度 (error/warning/note) 或特定檔案路徑篩選雜訊。

• 將 SARIF 發現的漏洞轉換為 CSV 或 HTML 報告等易於閱讀的格式，提升團隊可見度。

• 提取指紋 (fingerprints)、部分指紋與構件位置 (artifact locations) 等元資料，以便跨分支或建置環境追蹤漏洞。

• 此技能旨在處理已產生的掃描結果；它不會直接執行靜態分析掃描——若需執行掃描，請使用 Semgrep 或 CodeQL 等專用技能。

• 使用者應熟悉 SARIF 2.1.0 規範結構，包含 runs、results 與 physicalLocation 元素的階層關係。

• 利用指紋技術進行基準對照、識別 pull request 中的回歸錯誤，並維護已知誤報的屏蔽清單。

• 確保輸入檔案為有效的 JSON SARIF 日誌，以獲得最佳解析效能。

• 利用所提供的策略將結果整合至 CI/CD 管線中，根據安全嚴重程度門檻建立自動化品質控管。