Compétences sast-configuration
🛡️

sast-configuration

Sûr 🌐 Accès réseau⚙️ Commandes externes📁 Accès au système de fichiers

Configurer les outils SAST pour l'analyse de sécurité du code

Vous avez besoin d'une configuration cohérente des outils SAST dans vos projets. Cette compétence fournit des conseils pour configurer Semgrep, SonarQube et CodeQL avec des règles personnalisées et une intégration CI.

Prend en charge: Claude Codex Code(CC)
📊 69 Adéquat
1

Télécharger le ZIP du skill

2

Importer dans Claude

Allez dans Paramètres → Capacités → Skills → Importer un skill

3

Activez et commencez à utiliser

Tester

Utilisation de "sast-configuration". Créer un plan SAST pour un monorepo JavaScript utilisant Semgrep et CodeQL.

Résultat attendu:

  • Sélectionner les règles automatiques Semgrep plus le pack OWASP Top Ten pour JavaScript.
  • Exécuter CodeQL sur les branches principales et les pull requests avec upload SARIF.
  • Exclure les répertoires build et vendor pour améliorer le temps d'analyse.
  • Faire échouer la construction uniquement sur les résultats critiques et élevés.

Utilisation de "sast-configuration". Comment créer une règle Semgrep personnalisée pour les clés API codées en dur ?

Résultat attendu:

  • Définir un modèle correspondant aux formats de clés courants comme les préfixes 'sk-'.
  • Utiliser le champ message pour expliquer pourquoi les clés codées en dur sont un risque.
  • Définir la sévérité sur ERREUR pour le blocage du pipeline CI.
  • Tester la règle sur un exemple de code vulnérable avant le déploiement.

Utilisation de "sast-configuration". Configurer une porte de qualité SonarQube pour la conformité PCI-DSS.

Résultat attendu:

  • Configurer le profil de qualité avec les règles liées à la sécurité activées.
  • Configurer les seuils de métriques personnalisés pour la densité de code vulnérable.
  • Intégrer l'import SARIF pour les résultats des outils SAST externes.
  • Configurer les notifications par email pour les échecs de la porte de qualité.

Audit de sécurité

Sûr
v4 • 1/17/2026

This is a pure documentation skill containing only guidance and example commands for configuring SAST tools. All 32 static findings are false positives triggered by security-related terminology in documentation. The skill describes legitimate defensive security practices (Semgrep, SonarQube, CodeQL configuration) with no executable code, file access, network calls, or command execution. Behavior matches stated purpose of providing SAST configuration guidance.

2
Fichiers analysés
367
Lignes analysées
3
résultats
4
Total des audits

Facteurs de risque

🌐 Accès réseau (2)
skill-report.json:6 SKILL.md:93
⚙️ Commandes externes (11)
SKILL.md:52-63 SKILL.md:63-80 SKILL.md:80-88 SKILL.md:88-91 SKILL.md:91-98 SKILL.md:98-130 SKILL.md:130-132 SKILL.md:132-135 SKILL.md:135-142 SKILL.md:142-145 SKILL.md:145-148
📁 Accès au système de fichiers (3)
SKILL.md:172 SKILL.md:173 SKILL.md:174
Audité par: claude Voir l’historique des audits →

Score de qualité

38
Architecture
100
Maintenabilité
85
Contenu
22
Communauté
100
Sécurité
91
Conformité aux spécifications

Ce que vous pouvez construire

Déploiement initial SAST

Planifier et configurer Semgrep, SonarQube et CodeQL pour une analyse initiale de référence de l'organisation.

Intégration pipeline CI

Ajouter des contrôles SAST à GitHub Actions ou GitLab CI avec des seuils d'échec clairs.

Création de règles personnalisées

Créer des règles ciblées pour détecter des modèles à risque dans un codebase spécifique.

Essayez ces prompts

Configuration débutant 
Configurer une analyse Semgrep de base pour un projet Python et suggérer une étape CI minimale.
Renforcement du pipeline 
Définir un workflow CI qui bloque les fusionnements sur les résultats SAST critiques et garde le bruit au minimum.
Ajustement des règles 
Suggérer l'ajustement des règles et les exclusions de chemins pour réduire les faux positifs dans un grand monorepo.
Multi-outils avancé 
Concevoir un plan pour combiner Semgrep, SonarQube et CodeQL avec une clarté sur les responsabilités et le reporting.

Bonnes pratiques

  • Commencer par une analyse de référence et prioriser d'abord les problèmes critiques
  • Documenter les suppressions et les examiner régulièrement
  • Mettre en cache les dépendances et utiliser les analyses incrémentielles pour la vitesse

Éviter

  • Bloquer les fusionnements sur les résultats de faible sévérité
  • Ignorer les faux positifs sans documentation
  • Analyser par défaut le code généré ou le code vendor

Foire aux questions

Quelles plateformes cette compétence prend-elle en charge ?
Elle fournit des conseils pour Semgrep, SonarQube et CodeQL sur les plateformes CI courantes.
Quelles sont les limites de cette compétence ?
Elle n'exécute pas les analyses ni ne modifie directement votre configuration CI.
Peut-elle s'intégrer à mon pipeline CI existant ?
Oui, elle fournit des exemples pour GitHub Actions, GitLab CI et les hooks pre-commit.
Mes données sont-elles accédées ou stockées ?
Non, le contenu de la compétence est une documentation statique et n'accède pas aux fichiers ni ne transmet de données.
Comment résoudre les résultats bruyants ?
Utilisez l'ajustement des règles, les exclusions de chemins et les suppressions documentées pour réduire le bruit.
Comment se compare-t-elle à l'utilisation d'un seul outil ?
Elle aide à planifier une approche multi-outils pour une meilleure couverture et une défense en profondeur.

Détails du développeur

Auteur

wshobson

Licence

MIT

Dépôt

https://github.com/wshobson/agents/tree/main/plugins/security-scanning/skills/sast-configuration

Réf

main

Structure de fichiers

📄 SKILL.md