86/100 G 用于仓库密钥扫描的 Gitleaks 在 Agent 提交代码或创建 PR 前,扫描仓库和工作区里的泄露密钥。 jsonsarifcsv 已验证 持续维护 $ brew install gitleaks
84/100 T 用于依赖、容器、IaC 和 SBOM 扫描的 Trivy 扫描代码、容器、依赖、Kubernetes 配置和 SBOM,并输出机器可读报告。 jsonsariftable 已验证 持续维护 $ brew install trivy
82/100 S 用于静态分析和策略检查的 Semgrep CLI 运行代码模式检查和策略扫描,并输出 Agent 可总结的 JSON 或 SARIF 报告。 jsonsariftext 已验证 持续维护 $ pipx install semgrep