name: 静态分析工具技能 description: 与专注于安全的静态分析工具集成 allowed-tools:
- Bash
- Read
- Write
- Edit
- Glob
- Grep
静态分析工具技能
概述
此技能提供与专注于安全的静态分析工具的集成,用于全面的代码安全分析。
能力
- 执行 Semgrep 规则和自定义模式
- 运行 CodeQL 查询以进行漏洞检测
- 执行 Bandit (Python)、Brakeman (Ruby) 等工具
- 解析和解释静态分析结果
- 生成自定义检测规则
- 跨工具聚合发现结果
- 将发现结果映射到 CWE/CVE 标识符
- 支持 SAST 流水线集成
目标流程
- static-code-analysis.js
- variant-analysis.js
- web-app-vuln-research.js
- api-security-research.js
依赖项
- Semgrep CLI
- CodeQL CLI 和数据库
- 特定语言的代码分析器:
- Bandit (Python)
- Brakeman (Ruby)
- gosec (Go)
- SpotBugs (Java)
- 用于结果聚合的 Python
使用场景
此技能对于以下方面至关重要:
- 安全代码审查自动化
- 漏洞模式检测
- 自定义安全规则开发
- CI/CD 安全门集成
- 跨代码库的变体分析
集成说明
- 支持多种输出格式(SARIF、JSON、自定义)
- 可以在更改的文件上增量运行
- 与 IDE 和 CI/CD 工作流集成
- 自定义规则可以进行版本控制
- 结果可以重复数据删除和分类处理