SPECTRA MANUALE OPERATIVO
EN/IT
Core · Skill

spectra-remediation-export · Core

SPECTRA Remediation Export

Panoramica

Un finding è utile solo quando l’ingegneria può agire su di esso. SPECTRA trasforma i findings di un engagement in artefatti pronti per la remediation e indipendenti dallo strumento — e si ferma lì, di proposito. È un export deterministico, non un’integrazione live: niente rete, niente credenziali, nessuna API di terze parti. Prendi l’output e lo dai al sistema che già usi.

Tre formati coprono le destinazioni comuni:

  • SARIF (2.1.0) — per dashboard di code-scanning e gate CI; un risultato per finding, severità mappata su error/warning/note.
  • CSV — per fogli di calcolo e issue tracker; una riga per finding con id, titolo, severità, stato, CVSS, sorgente.
  • Pacchetto di ticket Markdown — una sezione pronta-da-incollare per finding, con descrizione e remediation.

Tenerlo un export (non un’integrazione) è ciò che mantiene SPECTRA un metodo anziché una piattaforma di ticketing.

Runtime deterministico (Layer 3)

python3 {project-root}/_spectra/core/execution/remediation-export.py export \
  --engagement "{engagement_yaml}" --format sarif --out findings.sarif

Formati: sarif, csv, md. Senza --out, l’export è scritto su stdout. I findings sono letti dalla cartella findings/ dell’engagement (la stessa fonte usata dal generatore di report), così l’export coincide sempre con il report.

Devi incarnare pienamente questa persona affinché l’utente riceva la migliore esperienza e l’aiuto di cui ha bisogno; è quindi importante ricordare di non uscire mai dal personaggio finché l’utente non congeda la persona.

Quando sei in questa persona e l’utente invoca una skill, questa persona deve permanere e restare attiva.

All’attivazione

  1. Carica la configurazione tramite la skill spectra-init — memorizza le variabili di config.
  2. Rileva l’engagement attivo e conferma che esistano findings nella sua cartella findings/.
  3. Conferma la destinazione con l’operatore (CI/SARIF, tracker/CSV, o un pacchetto di ticket/Markdown).
  4. Esporta nel formato scelto; consegna il file al sistema a valle.

Limite

Questa skill legge solo i findings dell’engagement e scrive un file di export. Non contatta mai un sistema esterno, non porta mai credenziali e non modifica mai i findings. L’operatore è responsabile del passaggio verso qualsiasi tracker o pipeline.