技能 sast-configuration
🔒
手动配置SAST既复杂又耗时。本技能提供Semgrep、SonarQube和CodeQL的即用型配置,帮助您将安全扫描集成到CI/CD管道中。
支持: Claude Codex Code(CC)
1
下载技能 ZIP
2
在 Claude 中上传
前往 设置 → 功能 → 技能 → 上传技能
3
开启并开始使用
测试它
正在使用“sast-configuration”。 为Node.js项目设置Semgrep
预期结果:
一个完整的.semgrep.yml配置文件,包含OWASP Top 10规则,以及一个GitHub Actions工作流,在拉取请求上运行扫描并在高严重性发现时阻断合并
正在使用“sast-configuration”。 创建SQL注入自定义规则
预期结果:
一个检测字符串拼接原始SQL查询的Semgrep规则,包含易受攻击模式和安全的参数化替代方案示例
安全审计
安全v1 • 2/25/2026
All static analysis findings are false positives. The SKILL.md file contains documentation examples only, not executable code. External command patterns are bash examples in markdown code blocks. SAML reference was misidentified as Windows SAM. No actual security risks detected.
1
已扫描文件
215
分析行数
0
发现项
1
审计总数
未发现安全问题
审计者: claude
质量评分
38
架构
100
可维护性
87
内容
50
社区
100
安全
100
规范符合性
你能构建什么
DevSecOps工程师
将SAST扫描集成到现有CI/CD管道中,在部署前发现漏洞。为关键发现配置阻断门禁。
安全团队负责人
在多个仓库中建立基线安全扫描。为组织特定的安全模式和合规要求创建自定义规则。
软件开发人员
设置预提交钩子在本地推送代码之前发现安全问题。学习高效解读和处理SAST发现。
试试这些提示
快速Semgrep设置
帮助我为Python项目设置Semgrep。我需要配置基本的安全规则,并希望将其与GitHub Actions集成。
SonarQube质量门禁
为Java Spring Boot应用程序配置SonarQube质量门禁。重点关注安全热点,并为阻断构建设置适当的阈值。
自定义规则开发
创建一个自定义Semgrep规则来检测JavaScript文件中的硬编码API密钥。该规则应匹配常见模式,如apiKey、api_secret和Bearer令牌。
多工具SAST策略
设计一个使用Semgrep、SonarQube和CodeQL的纵深防御SAST策略。解释如何避免重复发现并优化大型多语言代码库的扫描时间。
最佳实践
- 在启用阻断门禁之前先进行基线扫描,以避免干扰开发工作流
- 排除测试文件和生成代码以减少噪音并提高扫描性能
- 记录所有规则抑制并每季度审查一次以确保它们仍然有效
避免
- 一次性启用所有规则而未进行调优,导致告警疲劳和开发者沮丧
- 扫描您无法修改的第三方依赖或供应商代码
- 忽略误报调优,导致在非问题上浪费工程时间
常见问题
我应该为项目选择哪个SAST工具?
Semgrep擅长自定义规则和快速扫描。SonarQube将安全与代码质量相结合。CodeQL为GitHub仓库提供深度分析。许多团队使用多种工具来获得全面覆盖。
如何减少SAST扫描中的误报?
调优规则灵敏度,为测试文件添加路径排除,为已知安全模式创建允许列表,并使用带有文档说明的内联抑制注释。
SAST扫描是否应该阻断CI/CD管道?
首先仅使用警告,然后在调优期后仅阻断关键和高严重性发现。中低严重性应保持为非阻断建议。
SAST能取代人工代码审查吗?
在拉取请求上运行完整扫描,在主分支上运行每日计划扫描。预提交钩子可以在推送代码之前在本地发现问题。
SAST支持哪些合规标准?
SAST有助于满足PCI-DSS、SOC 2、HIPAA和ISO 27001的安全代码审查要求。Semgrep和SonarQube提供预构建的合规规则包。