semgrep

此技能利用 Semgrep 執行高效能靜態分析稽核，專為複雜的多語言程式碼庫所設計。它自動化了安全掃描的整個生命週期，從環境偵測與 Semgrep Pro 驗證，到平行執行與結果聚合。該工具旨在無縫整合至 AI 輔助的安全工作流程中，透過嚴格強制停用遙測功能，並在觸發掃描任務前要求人工審核，確保靜態分析既全面又安全。

• 自動偵測程式語言並檢查 Semgrep Pro 可用性，以啟用進階的跨檔案汙染分析與跨程序安全檢查。

• 支援兩種主要掃描模式：「執行全部 (run all)」以進行全面的規則集覆蓋，以及「僅限重要項目 (important only)」以針對高信心安全弱點進行偵測。

• 透過針對不同語言元件產生多個任務子代理來實作平行執行，顯著縮短大型專案的掃描時間。

• 處理輸出管理，包括建立獨立目錄、記錄已核准的規則集，並將掃描結果合併為標準化 SARIF 輸出檔案，以便於審查。

• 強制執行嚴格的安全衛生措施，例如停用遙測 (--metrics=off) 以防止資料外洩，並要求使用者明確核准掃描計畫，確保稽核過程在受控且有意圖的情況下進行。

• 適用於安全工程師、稽核人員與開發人員，進行第一階段靜態分析、弱點研究或安全程式碼審查。

• 要求環境中安裝 Semgrep CLI；建議使用 Semgrep Pro 授權以獲得最佳的弱點偵測效能。

• 以多步驟編排運作：步驟 1 (偵測)、步驟 2 (模式選擇)、步驟 3 (人工審核硬閘)、步驟 4 (平行執行)、步驟 5 (結果合併)。

• 使用者應避免將此技能用於二進位檔案分析，或在需要自訂規則建立時（應改用 semgrep-rule-creator）。

• 除非在提示中指定輸出目錄，否則預設輸出至版本化資料夾 (static_analysis_semgrep_N)。

• 適用於安全稽核、尋找已知錯誤模式，以及在發送 Pull Request 審查前確保程式碼品質。