Scanner de sécurité du code Semgrep

Score de confiance 67/100

Exécutez des analyses de sécurité basées sur Semgrep pour détecter les vulnérabilités, les secrets et les problèmes du Top 10 de l'OWASP, et produisez un rapport catégorisé avec des suggestions de remédiation.

déclencheurs:security scansemgrepscan projectsastsecrets漏洞扫描安全扫描

GitHub SKILL.md

Ce qu'il fait

Cette compétence exécute des analyses de sécurité Semgrep sur le projet actuel pour trouver des modèles de vulnérabilité connus, des fuites de secrets et les problèmes courants du Top 10 de l'OWASP. Elle définit les flux d'analyse, les ensembles de règles recommandés par langage et produit des résultats structurés adaptés au triage et à la remédiation.

Quand l'utiliser

Utilisez-la lorsque vous avez besoin d'un contrôle automatisé de la sécurité du code : avant les fusions, lors d'audits ou à la demande lorsqu'un utilisateur demande une analyse de vulnérabilités, une vérification des secrets ou une revue axée sur l'OWASP. Utile dans la CI, les flux de travail des développeurs locaux ou les audits interactifs pilotés par un agent.

Ce qui est inclus

Scripts : aucun script groupé (has_scripts=false)
Références : exemples de commandes Semgrep et ensembles de règles recommandés inclus en ligne dans le fichier SKILL.md
Instructions : vérifications de l'environnement, installation (pip install semgrep), commandes pour des analyses complètes, suggestions de règles spécifiques aux langages, détection de secrets et conseils de formatage de rapport.

Agents compatibles

Idéal pour les agents capables d'exécuter des commandes shell et de traiter des sorties JSON (par exemple, Claude Code / Codex / agents avec accès shell). La compétence est agnostique au langage et fournit des recommandations de règles adaptées pour Python, JavaScript/TypeScript et Go.

Étiquettes

#security #semgrep #sast #vulnerability-scanning #secrets-detection #owasp #code-audit #devsecops #static-analysis

Aucun script exécutéAudité le May 21, 2026

Résumé de l'audit

A Semgrep-based code security scanning skill that provides CLI commands for running various Semgrep rule sets (auto, OWASP, language-specific, secrets detection). Written mostly in Chinese. No bundled scripts — the skill is purely instructional, telling the agent which semgrep commands to run. Security posture is clean with no suspicious patterns, but quality and architecture are limited: it's essentially a list of semgrep CLI invocations with minimal structure, no scripts/, no references/, and no output contracts.

Points d'attention

Skill content is primarily in Chinese — may limit accessibility for non-Chinese speakers
Requires semgrep CLI installed (pip install semgrep)
No scripts to automate — agent must execute semgrep commands manually
pip install semgrep without version pinning could lead to breaking changes

Dépendances manquantes

semgrep

Notes

Simple instructional skill wrapping semgrep CLI. No executable scripts. Frontmatter has context:fork which is appropriate. Lacks output contracts, error handling guidance, and structured reporting format beyond markdown tables. The skill is functional but thin — mostly a semgrep cheat sheet rather than a fully operational skill.

Informations

Dépôt: skillsemgrep
Étoiles: 22
Installations: 0

Score de confiance

Global67

Sécurité88

Qualité du code52

Architecture38

Utilité65

Compétences similaires

Reverse Engineer

Provides step-by-step guidance and best practices for binary reverse engineering: static analysis, dynamic tracing, disassembly, and documentation workflows for

Sandbox0 Integration

Guidance and templates for integrating Sandbox0 sandboxing into AI agents — CLI/SDK patterns, templates, volumes, network policy, and deployment choices.

CTF Write-up Generator

Generate a concise, reproducible submission-style CTF writeup with a one-path solution script, metadata, and a short checklist for fast verification.

Code Spec Backfill

Identify missing function-level contracts and backfill docstrings and type annotations; report ambiguous gaps with misuse scenarios. Incremental, state-driven w

Azure External Attack Surface Management

Provides expert guidance for Azure External Attack Surface Management (EASM): quotas, configuration, integrations, and exporting inventory to analytics platform

Node.js Best Practices

Guidelines and decision-making for Node.js architecture, runtime, async patterns, security, validation, and testing to inform framework and system choices.

radar — Smart Contract AST & Security Analysis

Multi-framework AST generator and static analysis tool for smart contracts (Rust/Anchor/Stylus and Solidity/Foundry) with a template DSL for writing detection r

Bash Pro

Defensive, production-grade Bash scripting patterns and CI/CD best practices: strict mode, safe argument parsing, testing with Bats, and tooling (ShellCheck/shf

Retour aux compétences