added a description for the tool - semgrep

README.md

@@ -7,10 +7,16 @@
  - Library - собираем библиотеку и деплоим в maven central
  - Swag    - собираем openapi, деплоим в maven central и публикуем в github pages
 
+ Инструменты для сканирование:
+ - Semgrep - сканирует по дефолтным правилам и выводит отчет в формате Sarif
+ 
 Чтобы начать использовать java-workflow в своем репозитории - добавьте в директорию `/.github/workflows/` файлы
 `build.yml` и `deploy.yml`, файлов описания workflow не обязательно должно быть два, вы можете самостоятельно описать workflow с использованием `java-workflow`.
 Ниже приведен пример для `service` типа проекта. Аналогично и для других типов, изменяется только название файла и передаваемые параметры.
 
+ Для сканирования проектов - инструмент Semgrep.
+ Чтобы начать использовать - добавьте в директорию файл `semgrep-scan.yml`
+
 `build.yml`
 ```yaml
 name: Build Maven Artifact
@@ -103,3 +109,9 @@ secrets:
   github-token: ${{ secrets.GITHUB_TOKEN }}
   mm-webhook-url: ${{ secrets.MATTERMOST_WEBHOOK_URL }}
 ```
+
+### Semgrep scan
+`semgrep-scan.yml`
+```yaml
+uses: valitydev/java-workflow/.github/workflows/semgrep-scan.yml@sec-24
+```