手動 SAST 設定複雜且耗時。此技能提供現成的 Semgrep、SonarQube 和 CodeQL 配置,將安全掃描整合到您的 CI/CD 流程中。
下載技能 ZIP
在 Claude 中上傳
前往 設定 → 功能 → 技能 → 上傳技能
開啟並開始使用
測試它
正在使用「sast-configuration」。 為 Node.js 專案設定 Semgrep
預期結果:
一個完整的 .semgrep.yml 配置文件,包含 OWASP Top 10 規則,以及一個 GitHub Actions workflow,在 pull requests 上執行掃描並在發現高嚴重性問題時阻斷合併。
正在使用「sast-configuration」。 建立 SQL 注入的自訂規則
預期結果:
一個 Semgrep 規則,偵測帶有字串串接的原始 SQL 查詢,並提供範例顯示脆弱模式和安全參數化替代方案。
安全審計
安全All static analysis findings are false positives. The SKILL.md file contains documentation examples only, not executable code. External command patterns are bash examples in markdown code blocks. SAML reference was misidentified as Windows SAM. No actual security risks detected.
品質評分
你能建構什麼
DevSecOps 工程師
將 SAST 掃描整合到現有的 CI/CD 流程中,以便在部署前攔截漏洞。設定阻斷閘道以處理關鍵發現。
安全團隊負責人
在多個儲存庫中建立基準安全掃描。為組織特定的安全模式和合規要求建立自訂規則。
軟體開發人員
設定 pre-commit hooks 以便在推送程式碼前於本機攔截安全問題。學習有效解讀和修復 SAST 發現。
試試這些提示
協助我為 Python 專案設定 Semgrep。我需要設定基本安全規則,並想將其與 GitHub Actions 整合。
為 Java Spring Boot 應用程式設定 SonarQube 品質閘道。專注於安全熱點並設定適當的臨界值以阻斷建構。
建立一個自訂 Semgrep 規則以偵測 JavaScript 檔案中的硬編碼 API 金鑰。該規則應符合常見模式,如 apiKey、api_secret 和 Bearer tokens。
設計使用 Semgrep、SonarQube 和 CodeQL 的深度防禦 SAST 策略。解釋如何避免重複發現並為大型多語言程式碼庫最佳化掃描時間。
最佳實務
- 在啟用阻斷閘道前從基準掃描開始,以避免干擾開發工作流程
- 排除測試檔案和自動產生的程式碼以減少雜訊並提升掃描效能
- 記錄所有規則抑制並每季度審查以確保其仍然有效
避免
- 未經調整就一次性啟用所有規則,導致警報疲勞和開發人員挫折
- 掃描無法修改的第三方相依套件或 vendor 程式碼
- 忽略誤報調整,導致工程團隊在非問題上浪費時間