Compétences sast-configuration
🛡️

sast-configuration

Sûr 🌐 Accès réseau⚙️ Commandes externes📁 Accès au système de fichiers

Configurar ferramentas SAST para verificação segura de código

Você precisa de configuração consistente de ferramentas SAST nos seus projetos. Esta habilidade fornece orientação para configurar Semgrep, SonarQube e CodeQL com regras personalizadas e integração de CI.

Prend en charge: Claude Codex Code(CC)
📊 69 Adéquat
1

Télécharger le ZIP du skill

2

Importer dans Claude

Allez dans Paramètres → Capacités → Skills → Importer un skill

3

Activez et commencez à utiliser

Tester

Utilisation de "sast-configuration". Criar um plano SAST para um monorepo JavaScript usando Semgrep e CodeQL.

Résultat attendu:

  • Selecionar regras automáticas do Semgrep mais o pacote OWASP Top Ten para JavaScript.
  • Executar CodeQL em branches principais e pull requests com upload de SARIF.
  • Excluir diretórios de build e vendor para melhorar o tempo de verificação.
  • Falhar o build apenas em descobertas críticas e altas.

Utilisation de "sast-configuration". Como crio uma regra Semgrep personalizada para chaves de API codificadas?

Résultat attendu:

  • Definir um padrão que corresponda a formatos comuns de chaves como prefixos 'sk-'.
  • Usar campo de mensagem para explicar por que chaves codificadas são um risco.
  • Definir severidade como ERRO para bloqueio de pipeline CI.
  • Testar regra contra código vulnerável de exemplo antes da implantação.

Utilisation de "sast-configuration". Configurar portão de qualidade SonarQube para conformidade PCI-DSS.

Résultat attendu:

  • Configurar perfil de qualidade com regras relacionadas à segurança habilitadas.
  • Configurar limites de métrica personalizados para densidade de código vulnerável.
  • Integrar importação de SARIF para resultados de ferramentas SAST externas.
  • Configurar notificações por e-mail para falhas de portão de qualidade.

Audit de sécurité

Sûr
v4 • 1/17/2026

This is a pure documentation skill containing only guidance and example commands for configuring SAST tools. All 32 static findings are false positives triggered by security-related terminology in documentation. The skill describes legitimate defensive security practices (Semgrep, SonarQube, CodeQL configuration) with no executable code, file access, network calls, or command execution. Behavior matches stated purpose of providing SAST configuration guidance.

2
Fichiers analysés
367
Lignes analysées
3
résultats
4
Total des audits

Facteurs de risque

🌐 Accès réseau (2)
skill-report.json:6 SKILL.md:93
⚙️ Commandes externes (11)
SKILL.md:52-63 SKILL.md:63-80 SKILL.md:80-88 SKILL.md:88-91 SKILL.md:91-98 SKILL.md:98-130 SKILL.md:130-132 SKILL.md:132-135 SKILL.md:135-142 SKILL.md:142-145 SKILL.md:145-148
📁 Accès au système de fichiers (3)
SKILL.md:172 SKILL.md:173 SKILL.md:174
Audité par: claude Voir l’historique des audits →

Score de qualité

38
Architecture
100
Maintenabilité
85
Contenu
22
Communauté
100
Sécurité
91
Conformité aux spécifications

Ce que vous pouvez construire

Implantação inicial de SAST

Planejar e configurar Semgrep, SonarQube e CodeQL para uma verificação inicial de linha de base da organização.

Integração de pipeline CI

Adicionar verificações SAST ao GitHub Actions ou GitLab CI com portões de falha claros.

Criação de regras personalizadas

Criar regras direcionadas para detectar padrões arriscados em uma base de código específica.

Essayez ces prompts

Configuração para iniciantes 
Configurar uma verificação Semgrep básica para um projeto Python e sugerir uma etapa mínima de CI.
Fortalecimento de pipeline 
Definir um fluxo de trabalho de CI que bloqueia merges em descobertas críticas de SAST e mantém o ruído baixo.
Ajuste de regras 
Sugerir ajuste de regras e exclusões de caminhos para reduzir falsos positivos em um grande monorepo.
Avançado com múltiplas ferramentas 
Planejar uma abordagem para combinar Semgrep, SonarQube e CodeQL com propriedade clara e relatórios.

Bonnes pratiques

  • Começar com uma verificação de linha de base e priorizar problemas críticos primeiro
  • Documentar supressões e revisá-las regularmente
  • Fazer cache de dependências e usar verificações incrementais para velocidade

Éviter

  • Bloquear merges em descobertas de baixa severidade
  • Ignorar falsos positivos sem documentação
  • Verificar código gerado ou de vendors por padrão

Foire aux questions

Quais plataformas esta habilidade suporta?
Fornece orientação para Semgrep, SonarQube e CodeQL nas plataformas CI mais comuns.
Quais são os limites desta habilidade?
Não executa verificações nem modifica sua configuração de CI diretamente.
Pode integrar com meu pipeline CI existente?
Sim, oferece exemplos para GitHub Actions, GitLab CI e hooks de pré-commit.
Meus dados são acessados ou armazenados?
Não, o conteúdo da habilidade é documentação estática e não acessa arquivos nem transmite dados.
Como corrijo resultados com muito ruído?
Use ajuste de regras, exclusões de caminhos e supressões documentadas para reduzir ruído.
Como se compara ao uso de apenas uma ferramenta?
Ajuda a planejar uma abordagem com múltiplas ferramentas para maior cobertura e defesa em profundidade.

Détails du développeur

Auteur

wshobson

Licence

MIT

Dépôt

https://github.com/wshobson/agents/tree/main/plugins/security-scanning/skills/sast-configuration

Réf

main

Structure de fichiers

📄 SKILL.md