semgrep

此技能為 Semgrep CLI 提供了一個強大且以安全為重點的封裝，針對自動化程式碼審計和漏洞搜尋進行了最佳化。它專為需要高效地對複雜的多語言程式碼庫進行靜態分析的安全工程師和開發人員而設計。透過利用子代理的並行執行，它減少了大型儲存庫的掃描時間，同時確保高置信度的結果。此技能管理安全審計的端到端生命週期，包括自動環境檢測、規則集管理，以及將發現結果合併為業界標準的 SARIF 格式，以便與現有的安全流程整合。

• 在不同語言之間執行並行 Semgrep 掃描器，以最大化審計任務期間的效能。

• 自動檢測並利用 Semgrep Pro 功能（例如跨檔案汙染分析），以識別複雜的程序間安全漏洞。

• 強制執行嚴格的安全最佳實踐，包括強制使用 --metrics=off 標誌以防止敏感資料外洩，並對每個掃描計畫實施嚴格的審核批准流程。

• 整合來自 Trail of Bits、0xdea 和 Decurity 等知名安全組織的基本第三方規則集，以擴展超出標準登錄檔的檢測覆蓋範圍。

• 使用專用 Python 腳本處理輸出管理、目錄建立以及自動 SARIF 結果合併。

• 在程式碼庫範圍的安全審計、程式碼審查前的漏洞發現，以及識別已知錯誤模式時使用此技能。

• 代理在執行任何掃描工具之前，需要使用者明確批准掃描計畫，以確保分析是受控且有意的。

• 此技能區分「執行全部」(完整覆蓋) 和「僅重要」(高置信度/影響力的安全發現) 模式，以平衡雜訊與訊號。

• 需要 Semgrep CLI 和選配的 Pro 存取權；結果會儲存到版本化的輸出目錄 (例如 ./static_analysis_semgrep_n)。

• 不適用於二進位分析或已設定 CI/CD 管線的情況；請使用專用技能進行自訂規則建立或變體分析。