Compétences sast-configuration
🛡️

sast-configuration

Sûr 🌐 Accès réseau⚙️ Commandes externes📁 Accès au système de fichiers

Настройка инструментов SAST для безопасного сканирования кода

Вам нужна единообразная настройка инструментов SAST во всех проектах. Этот навык дает рекомендации по настройке Semgrep, SonarQube и CodeQL с пользовательскими правилами и интеграцией в CI.

Prend en charge: Claude Codex Code(CC)
📊 69 Adéquat
1

Télécharger le ZIP du skill

2

Importer dans Claude

Allez dans Paramètres → Capacités → Skills → Importer un skill

3

Activez et commencez à utiliser

Tester

Utilisation de "sast-configuration". Create a SAST plan for a JavaScript monorepo using Semgrep and CodeQL.

Résultat attendu:

  • Выберите автоматические правила Semgrep и набор OWASP Top Ten для JavaScript.
  • Запускайте CodeQL на основных ветках и в pull request с загрузкой SARIF.
  • Исключите каталоги build и vendor для ускорения сканирования.
  • Проваливайте сборку только при находках уровней critical и high.

Utilisation de "sast-configuration". How do I create a custom Semgrep rule for hardcoded API keys?

Résultat attendu:

  • Определите паттерн, сопоставляющий типичные форматы ключей, например с префиксом 'sk-'.
  • Используйте поле message, чтобы объяснить, почему жестко прописанные ключи — это риск.
  • Установите severity как ERROR для блокировки CI pipeline.
  • Протестируйте правило на примере уязвимого кода перед внедрением.

Utilisation de "sast-configuration". Set up SonarQube quality gate for PCI-DSS compliance.

Résultat attendu:

  • Настройте quality profile с включенными правилами, связанными с безопасностью.
  • Задайте пользовательские пороги метрик для плотности уязвимого кода.
  • Интегрируйте импорт SARIF для результатов внешних SAST-инструментов.
  • Настройте уведомления по email о сбоях quality gate.

Audit de sécurité

Sûr
v4 • 1/17/2026

This is a pure documentation skill containing only guidance and example commands for configuring SAST tools. All 32 static findings are false positives triggered by security-related terminology in documentation. The skill describes legitimate defensive security practices (Semgrep, SonarQube, CodeQL configuration) with no executable code, file access, network calls, or command execution. Behavior matches stated purpose of providing SAST configuration guidance.

2
Fichiers analysés
367
Lignes analysées
3
résultats
4
Total des audits

Facteurs de risque

🌐 Accès réseau (2)
skill-report.json:6 SKILL.md:93
⚙️ Commandes externes (11)
SKILL.md:52-63 SKILL.md:63-80 SKILL.md:80-88 SKILL.md:88-91 SKILL.md:91-98 SKILL.md:98-130 SKILL.md:130-132 SKILL.md:132-135 SKILL.md:135-142 SKILL.md:142-145 SKILL.md:145-148
📁 Accès au système de fichiers (3)
SKILL.md:172 SKILL.md:173 SKILL.md:174
Audité par: claude Voir l’historique des audits →

Score de qualité

38
Architecture
100
Maintenabilité
85
Contenu
22
Communauté
100
Sécurité
91
Conformité aux spécifications

Ce que vous pouvez construire

Внедрение базового SAST

Спланировать и настроить Semgrep, SonarQube и CodeQL для первоначального базового сканирования организации.

Интеграция в CI pipeline

Добавить проверки SAST в GitHub Actions или GitLab CI с четкими порогами отказа.

Авторинг пользовательских правил

Создать целевые правила для выявления рискованных паттернов в конкретной кодовой базе.

Essayez ces prompts

Базовая настройка 
Set up a basic Semgrep scan for a Python project and suggest a minimal CI step.
Усиление pipeline 
Define a CI workflow that blocks merges on critical SAST findings and keeps noise low.
Тюнинг правил 
Suggest rule tuning and path exclusions to reduce false positives in a large monorepo.
Продвинутый мульти-инструмент 
Design a plan to combine Semgrep, SonarQube, and CodeQL with clear ownership and reporting.

Bonnes pratiques

  • Начните с базового сканирования и сначала приоритизируйте критические проблемы
  • Документируйте подавления и регулярно их пересматривайте
  • Кэшируйте зависимости и используйте инкрементальные сканирования для скорости

Éviter

  • Блокировка слияний при находках низкой критичности
  • Игнорирование ложных срабатываний без документации
  • Сканирование сгенерированного или vendor-кода по умолчанию

Foire aux questions

Какие платформы поддерживает этот навык?
Он предоставляет рекомендации по Semgrep, SonarQube и CodeQL для распространенных CI-платформ.
Каковы ограничения этого навыка?
Он не запускает сканирования и не изменяет вашу конфигурацию CI напрямую.
Можно ли интегрировать его с моим существующим CI pipeline?
Да, он предлагает примеры для GitHub Actions, GitLab CI и pre-commit хуков.
Доступаются ли мои данные или сохраняются?
Нет, содержимое навыка — это статическая документация и оно не получает доступ к файлам и не передает данные.
Как устранить шумные результаты?
Используйте тюнинг правил, исключения путей и документированные подавления, чтобы снизить шум.
Чем это отличается от использования только одного инструмента?
Он помогает спланировать мульти-инструментальный подход для более сильного покрытия и defense in depth.

Détails du développeur

Auteur

wshobson

Licence

MIT

Dépôt

https://github.com/wshobson/agents/tree/main/plugins/security-scanning/skills/sast-configuration

Réf

main

Structure de fichiers

📄 SKILL.md