Compétences sast-configuration
🛡️

sast-configuration

Sûr 🌐 Accès réseau⚙️ Commandes externes📁 Accès au système de fichiers

セキュアなコードスキャン用のSASTツールを構成する

プロジェクト間で一貫したSASTツールの設定が必要です。このスキルでは、カスタムルールとCI統合によるSemgrep、SonarQube、CodeQLの設定に関するガイダンスを提供します。

Prend en charge: Claude Codex Code(CC)
📊 69 Adéquat
1

Télécharger le ZIP du skill

2

Importer dans Claude

Allez dans Paramètres → Capacités → Skills → Importer un skill

3

Activez et commencez à utiliser

Tester

Utilisation de "sast-configuration". JavaScriptモノリス用のSAST 계획을 SemgrepとCodeQLを使用して作成してください。

Résultat attendu:

  • JavaScript用のSemgrep自動ルールとOWASP Top Tenパックを選択します。
  • メインブランチとプルリクエストでCodeQLを実行し、SARIFをアップロードします。
  • スキャン時間を向上させるため、buildおよびvendorディレクトリを除外します。
  • 重大および高レベルの発見に対してのみビルドを失敗させます。

Utilisation de "sast-configuration". ハードコードされたAPIキー用のカスタムSemgrepルールを作成するにはどうすればよいですか?

Résultat attendu:

  • 'sk-'プレフィックスなどの一般的なキー形式に一致するパターンを定義します。
  • メッセージフィールドを使用して、ハードコードされたキーがなぜリスクなのかを説明します。
  • CIパイプラインをブロックするため、重大度をERRORに設定します。
  • デプロイ前にサンプル vulnérable コードに対してルールをテストします。

Utilisation de "sast-configuration". PCI-DSSコンプライアンス用のSonarQube品質ゲートを設定してください。

Résultat attendu:

  • セキュリティ関連のルールが有効な品質プロファイルを設定します。
  • 脆弱なコード密度用のカスタムメトリックしきい値を設定します。
  • 外部SASTツール結果のSARIFインポートを設定します。
  • 品質ゲート失敗のメール通知を設定します。

Audit de sécurité

Sûr
v4 • 1/17/2026

This is a pure documentation skill containing only guidance and example commands for configuring SAST tools. All 32 static findings are false positives triggered by security-related terminology in documentation. The skill describes legitimate defensive security practices (Semgrep, SonarQube, CodeQL configuration) with no executable code, file access, network calls, or command execution. Behavior matches stated purpose of providing SAST configuration guidance.

2
Fichiers analysés
367
Lignes analysées
3
résultats
4
Total des audits

Facteurs de risque

🌐 Accès réseau (2)
skill-report.json:6 SKILL.md:93
⚙️ Commandes externes (11)
SKILL.md:52-63 SKILL.md:63-80 SKILL.md:80-88 SKILL.md:88-91 SKILL.md:91-98 SKILL.md:98-130 SKILL.md:130-132 SKILL.md:132-135 SKILL.md:135-142 SKILL.md:142-145 SKILL.md:145-148
📁 Accès au système de fichiers (3)
SKILL.md:172 SKILL.md:173 SKILL.md:174
Audité par: claude Voir l’historique des audits →

Score de qualité

38
Architecture
100
Maintenabilité
85
Contenu
22
Communauté
100
Sécurité
91
Conformité aux spécifications

Ce que vous pouvez construire

SASTベースライン展開

初期組織ベースラインスキャン用のSemgrep、SonarQube、CodeQLを計画して構成します。

CIパイプライン統合

明確な失敗ゲートとともにSASTチェックをGitHub ActionsまたはGitLab CIに追加します。

カスタムルール作成

特定のコードベースで危険なパターンを検出するためのターゲットルールを作成します。

Essayez ces prompts

初心者向けセットアップ 
Pythonプロジェクトの基本的なSemgrepスキャンをセットアップし、最小限のCIステップを提案してください。
パイプライン強化 
重大なSAST発見でマージをブロックし、ノイズを低く抑えるCIワークフローを定義してください。
ルール調整 
大規模なモノリスでの誤検知を減らすためのルール調整とパス除外を提案してください。
高度なマルチツール 
明確な所有権とレポート付きでSemgrep、SonarQube、CodeQLを組み合わせる計画を設計してください。

Bonnes pratiques

  • ベースラインスキャンから開始し、まず重大な問題を優先します
  • 抑制をドキュメント化し、定期的にレビューします
  • 依存関係をキャッシュし、インクリメンタルスキャンを使用して速度を向上させます

Éviter

  • 低重大度の検出でマージをブロックする
  • ドキュメント化せずに誤検知を無視する
  • 生成コードまたはベンダコードをデフォルトでスキャンする

Foire aux questions

このスキルはどのプラットフォームをサポートしていますか?
一般的なCIプラットフォーム向けのSemgrep、SonarQube、CodeQLのガイダンスを提供します。
このスキルの制限は何ですか?
スキャンを実行したり、CI設定を直接変更したりすることはできません。
既存のCIパイプラインと統合できますか?
はい、GitHub Actions、GitLab CI、およびpre-commitフックの例を提供します。
データにアクセスまたは保存されますか?
いいえ、スキルコンテンツは静的なドキュメントであり、ファイルにアクセスしたりデータを передаしたりしません。
ノイズの多い結果をトラブルシューティングするにはどうすればよいですか?
ルール調整、パス除外、ドキュメント化された抑制を使用してノイズを減らします。
単一のツールのみを使用する場合と比較してどうですか?
より強力なカバレッジと多層防御のために、マルチツールアプローチを計画するのを支援します。

Détails du développeur

Auteur

wshobson

Licence

MIT

Dépôt

https://github.com/wshobson/agents/tree/main/plugins/security-scanning/skills/sast-configuration

Réf

main

Structure de fichiers

📄 SKILL.md