jar-audit-agent

Umiejętność agenta do audytu bezpieczeństwa aplikacji Java oparta na jar-analyzer. Zamiast ogólnych wniosków otrzymujesz powtarzalne dowody i mierzalne pokrycie analizy. Narzędzie korzysta z bazy SQLite oraz wbudowanego serwera MCP do zbierania faktów o kodzie — od grafu zależności po wpisy punktów wejścia. Idealne dla zespołów, które chcą dokumentować każdy krok audytu i weryfikować zasięg kontroli bezpieczeństwa.

1. Przygotuj dane wejściowe: upewnij się, że masz bazę SQLite zawierającą dane freeze, coverage, entry i graph z analizy jar-analyzer. Te dane są obowiązkowe do uruchomienia umiejętności.

2. Zainicjuj sesję audytu, uruchamiając polecenie init w katalogu głównym umiejętności. Polecenie automatycznie wykryje dostępną wersję Pythona (python lub python3) i wyświetli Run ID oraz pełne polecenie do następnego kroku — skopiuj je dokładnie.

3. Załaduj dane do analizy, używając polecenia freeze z parametrem --db wskazującym na twoją bazę SQLite. Na Windows użyj podwójnych cudzysłowów wokół ścieżek zawierających spacje.

4. Uruchom analizę zasięgu i punktów wejścia, wykonując polecenia reach i next zgodnie z instrukcjami wyświetlanymi po każdym kroku. Zawsze używaj tego samego polecenia Python, które wykryto w init.

5. Zbierz dowody z kodu, korzystając z polecenia evidence. Możesz przekazać wyniki z serwera MCP (--mcp-tool-result-file) lub pliki JSON z kodami (--code-json-file). Nigdy nie pisz własnych skryptów do parsowania — używaj tylko istniejących narzędzi CLI.

6. Prześlij raport audytu poleceniem submit. Jeśli napotkasz nieobsługiwaną funkcję, zatrzymaj się i zgłoś potrzebę rozszerzenia umiejętności — nie próbuj obchodzić ograniczeń ręcznym pisaniem skryptów.