Fähigkeiten sast-configuration
🔒

sast-configuration

Sicher

SAST-Tools für automatisiertes Security-Scanning konfigurieren

Auch verfügbar von: wshobson

Die manuelle SAST-Einrichtung ist komplex und zeitaufwendig. Diese Skill bietet sofort einsatzbereite Konfigurationen für Semgrep, SonarQube und CodeQL, um Security-Scanning in Ihre CI/CD-Pipeline zu integrieren.

Unterstützt: Claude Codex Code(CC)
🥉 72 Bronze
1

Die Skill-ZIP herunterladen

2

In Claude hochladen

Gehe zu Einstellungen → Fähigkeiten → Skills → Skill hochladen

3

Einschalten und loslegen

Teste es

Verwendung von "sast-configuration". Set up Semgrep for a Node.js project

Erwartetes Ergebnis:

Eine vollständige .semgrep.yml-Konfigurationsdatei mit OWASP Top 10-Regeln sowie ein GitHub Actions-Workflow, der Scans bei Pull Requests durchführt und Merges bei High-Severity-Befunden blockiert.

Verwendung von "sast-configuration". Create a custom rule for SQL injection

Erwartetes Ergebnis:

Eine Semgrep-Regel, die rohe SQL-Abfragen mit String-Konkatenation erkennt, mit Beispielen, die anfällige Muster und sichere parametrisierte Alternativen zeigen.

Sicherheitsaudit

Sicher
v1 • 2/25/2026

All static analysis findings are false positives. The SKILL.md file contains documentation examples only, not executable code. External command patterns are bash examples in markdown code blocks. SAML reference was misidentified as Windows SAM. No actual security risks detected.

1
Gescannte Dateien
215
Analysierte Zeilen
0
befunde
1
Gesamtzahl Audits
Keine Sicherheitsprobleme gefunden
Auditiert von: claude

Qualitätsbewertung

38
Architektur
100
Wartbarkeit
87
Inhalt
31
Community
100
Sicherheit
100
Spezifikationskonformität

Was du bauen kannst

DevSecOps Engineer

Integrieren Sie SAST-Scanning in bestehende CI/CD-Pipelines, um Schwachstellen vor dem Deployment zu erkennen. Konfigurieren Sie blockierende Gates für kritische Befunde.

Security Team Lead

Etablieren Sie baseline Security-Scanning über mehrere Repositories hinweg. Erstellen Sie benutzerdefinierte Regeln für organisationsspezifische Security-Muster und Compliance-Anforderungen.

Software Developer

Richten Sie Pre-Commit-Hooks ein, um Security-Probleme lokal zu erkennen, bevor Code gepusht wird. Lernen Sie, SAST-Befunde effizient zu interpretieren und zu beheben.

Probiere diese Prompts

Schnelle Semgrep-Einrichtung 
Help me set up Semgrep for a Python project. I need basic security rules configured and want to integrate it with GitHub Actions.
SonarQube Quality Gate 
Configure a SonarQube quality gate for a Java Spring Boot application. Focus on security hotspots and set appropriate thresholds for blocking builds.
Entwicklung benutzerdefinierter Regeln 
Create a custom Semgrep rule to detect hardcoded API keys in JavaScript files. The rule should match common patterns like apiKey, api_secret, and Bearer tokens.
Multi-Tool SAST-Strategie 
Design a defense-in-depth SAST strategy using Semgrep, SonarQube, and CodeQL together. Explain how to avoid duplicate findings and optimize scan times for a large polyglot codebase.

Bewährte Verfahren

  • Beginnen Sie mit Baseline-Scans, bevor Sie blockierende Gates aktivieren, um den Entwicklungs-Workflow nicht zu stören
  • Schließen Sie Testdateien und generierten Code aus, um Rauschen zu reduzieren und die Scan-Performance zu verbessern
  • Dokumentieren Sie alle Regelunterdrückungen und überprüfen Sie diese vierteljährlich, um deren Gültigkeit sicherzustellen

Vermeiden

  • Alle Regeln auf einmal ohne Optimierung zu aktivieren, was zu Alert-Fatigue und Frust bei Entwicklern führt
  • Scanning von Drittanbieter-Abhängigkeiten oder Vendor-Code, den Sie nicht ändern können
  • False-Positive-Optimierung zu ignorieren, was zu verschwendeter Engineering-Zeit für Nicht-Probleme führt

Häufig gestellte Fragen

Welches SAST-Tool sollte ich für mein Projekt wählen?
Semgrep zeichnet sich durch benutzerdefinierte Regeln und schnelle Scans aus. SonarQube kombiniert Sicherheit mit Code-Qualität. CodeQL bietet tiefgehende Analyse für GitHub-Repositories. Viele Teams verwenden mehrere Tools für umfassende Abdeckung.
Wie reduziere ich False Positives in SAST-Scans?
Optimieren Sie die Regel-Sensitivität, fügen Sie Pfadausschlüsse für Testdateien hinzu, erstellen Sie Allowlists für bekannte sichere Muster und verwenden Sie Inline-Unterdrückungskommentare mit dokumentierten Begründungen.
Sollten SAST-Scans CI/CD-Pipelines blockieren?
Beginnen Sie nur mit Warnungen und blockieren Sie erst nach einer Optimierungsphase nur kritische und hochgradige Befunde. Mittlere und niedrige Severity sollten als nicht-blockierende Empfehlungen bleiben.
Wie oft sollten SAST-Scans durchgeführt werden?
Führen Sie vollständige Scans bei Pull Requests und tägliche geplante Scans auf Main-Branches durch. Pre-Commit-Hooks können Probleme lokal erkennen, bevor Code gepusht wird.
Kann SAST manuelle Code-Reviews ersetzen?
Nein. SAST ergänzt, ersetzt aber nicht die manuelle Review. Automatisierte Tools übersehen Business-Logik-Fehler und kontextspezifische Schwachstellen, die menschliche Prüfer erkennen.
Welche Compliance-Standards unterstützt SAST?
SAST hilft bei der Erfüllung von PCI-DSS-, SOC 2-, HIPAA- und ISO 27001-Anforderungen für Secure Code Review. Semgrep und SonarQube bieten vorgefertigte Compliance-Regelpakete an.

Entwicklerdetails

Autor

sickn33

Lizenz

MIT

Repository

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/sast-configuration

Ref

main

Dateistruktur

📄 SKILL.md