sast-configuration

SAST Configuration - 静态应用安全测试配置指南

技能概述

SAST Configuration 提供完整的静态代码安全测试工具配置指南，帮助您在 CI/CD 管道中集成自动化漏洞检测，支持 Semgrep、SonarQube 和 CodeQL 三大主流工具。

适用场景

1. CI/CD 安全扫描集成

当您需要在代码提交或构建流程中自动执行安全检测时，本技能提供了 GitHub Actions、GitLab CI 和 Jenkins 的完整集成方案，包括质量门设置和扫描结果处理。

2. 自定义安全规则开发

针对特定业务场景或编码规范，本技能指导您创建自定义 Semgrep 规则和 SonarQube 质量配置，实现符合团队需求的安全策略。

3. 企业合规安全建设

满足 PCI-DSS、SOC 2 等合规要求时，本技能提供合规性扫描配置方案，包括漏洞跟踪、修复验证和安全报告生成。

核心功能

1. Semgrep 配置与自定义规则

Semgrep 是一款快速、灵活的静态分析工具，支持 30+ 编程语言。本技能包含自定义规则开发指南、模式匹配技巧、CI/CD 集成模板，以及针对 Python、JavaScript、Go、Java 等语言的安全规则集。

2. SonarQube 质量门设置

SonarQube 结合代码质量和安全分析于一体。本技能涵盖质量门配置、安全热点管理、技术债务跟踪，以及与 LDAP/SAML 的企业级集成方案。

3. CodeQL 深度分析

CodeQL 提供强大的代码语义分析能力。本技能包含 GitHub Advanced Security 集成、自定义查询开发、漏洞变体分析，以及 SARIF 结果处理流程。

常见问题

SAST 扫描会影响 CI/CD 性能吗？

SAST 扫描确实会占用一定的构建时间，但可以通过增量扫描、并行执行、排除测试文件等方式优化。本技能提供了性能优化最佳实践，包括缓存策略和规则选择建议。

Semgrep、SonarQube 和 CodeQL 应该选哪个？

三者各有优势：Semgrep 擅长快速扫描和自定义规则，SonarQube 兼顾代码质量和安全，CodeQL 提供深度分析能力。建议组合使用以实现多层防护。本技能提供了详细的工具对比表和选型建议。

如何减少 SAST 扫描的误报率？

误报是 SAST 的常见挑战。本技能提供了多种处理方法：添加路径过滤器排除测试代码、使用 nostmt 元数据优化规则、创建组织级别的例外列表、定期审查被屏蔽的发现。

本技能支持哪些编程语言？

Semgrep 支持 30+ 编程语言，SonarQube 支持 25+ 语言，CodeQL 支持 10+ 主流语言。本技能涵盖 Python、JavaScript、TypeScript、Go、Java、C# 等常用语言的配置示例。

CI/CD 中如何配置安全质量门？

本技能提供了 GitHub Actions、GitLab CI、Jenkins 的完整集成示例，展示如何设置严重性阈值、阻断条件、结果通知。建议先从只阻断关键问题开始，逐步收紧策略。