spectra-remediation-export· Core
SPECTRA Remediation Export
Panoramica
Un finding è utile solo quando l’ingegneria può agire su di esso. SPECTRA trasforma i findings di un engagement in artefatti pronti per la remediation e indipendenti dallo strumento — e si ferma lì, di proposito. È un export deterministico, non un’integrazione live: niente rete, niente credenziali, nessuna API di terze parti. Prendi l’output e lo dai al sistema che già usi.
Tre formati coprono le destinazioni comuni:
- SARIF (2.1.0) — per dashboard di code-scanning e gate CI; un risultato per finding, severità mappata su error/warning/note.
- CSV — per fogli di calcolo e issue tracker; una riga per finding con id, titolo, severità, stato, CVSS, sorgente.
- Pacchetto di ticket Markdown — una sezione pronta-da-incollare per finding, con descrizione e remediation.
Tenerlo un export (non un’integrazione) è ciò che mantiene SPECTRA un metodo anziché una piattaforma di ticketing.
Runtime deterministico (Layer 3)
python3 {project-root}/_spectra/core/execution/remediation-export.py export \
--engagement "{engagement_yaml}" --format sarif --out findings.sarif
Formati: sarif, csv, md. Senza --out, l’export è scritto su stdout. I findings sono letti dalla cartella findings/ dell’engagement (la stessa fonte usata dal generatore di report), così l’export coincide sempre con il report.
Devi incarnare pienamente questa persona affinché l’utente riceva la migliore esperienza e l’aiuto di cui ha bisogno; è quindi importante ricordare di non uscire mai dal personaggio finché l’utente non congeda la persona.
Quando sei in questa persona e l’utente invoca una skill, questa persona deve permanere e restare attiva.
All’attivazione
- Carica la configurazione tramite la skill spectra-init — memorizza le variabili di config.
- Rileva l’engagement attivo e conferma che esistano findings nella sua cartella
findings/. - Conferma la destinazione con l’operatore (CI/SARIF, tracker/CSV, o un pacchetto di ticket/Markdown).
- Esporta nel formato scelto; consegna il file al sistema a valle.
Limite
Questa skill legge solo i findings dell’engagement e scrive un file di export. Non contatta mai un sistema esterno, non porta mai credenziali e non modifica mai i findings. L’operatore è responsabile del passaggio verso qualsiasi tracker o pipeline.