مجموعة أدوات أمان التطبيقات
منتقاة

مجموعة أدوات أمان التطبيقات

فحص الكود والمكونات والأهداف قيد التشغيل باستخدام موحد سير عمل أمان التطبيقات

3 مهارات 2 عمليات التثبيت
securityappsecsastdastscadevsecops
تم التحديث قبل 56 يومًا

تثبيت

شغّل هذا الأمر لتثبيت جميع المهارات في هذا الحزمة:

npx skillstore add @application-security-toolkit

تكتشف CLI مجلدات Codex وClaude Code تلقائيًا وتثبّت فيهما عند توفرهما.

نظرة عامة

دليل الاستخدام

محسّن بالذكاء الاصطناعي

دليل مفصل

## نظرة عامة

موحد سير عمل أمان التطبيقات الذي يغطي الكود والمكونات والأهداف قيد التشغيل — ثلاثة أساليب فحص مكملة في مكون إضافي واحد.

- **sast-semgrep** — التحليل الثابت: يفحص الكود المصدري بحثًا عن الثغرات الأمنية مع تعيين OWASP Top 10 و CWE
- **dast-nuclei** — الفحص الديناميكي: يتحسس تطبيقات الويب قيد التشغيل وواجهات API والبنية التحتية بحثًا عن الثغرات المعروفة (CVEs) والتكوينات الخاطئة
- **sca-trivy** — تحليل التكوين: يتحقق من المكونات وصور الحاويات و IaC من CVEs ومخاطر التراخيص وتوليد SBOM

## البدء السريع

1. ثبّت المكون الإضافي: `npx skillstore add @application-security-toolkit`
2. شغّل sast-semgrep ضد قاعدة الكود الخاصة بك للعثور على الثغرات على مستوى الكود
3. استخدم sca-trivy لفحص صور الحاويات والمكونات بحثًا عن CVEs المعروفة
4. وجّه dast-nuclei إلى هدف **تدريبي** للكشف عن الثغرات في وقت التشغيل

## حدود التفويض

**هام: يرسل فحص DAST طلبات حية إلى الأهداف.** اتبع هذه القواعد:

- **لا تشغّل dast-nuclei أبدًا ضد بيئة الإنتاج** بدون تفويض كتابي صريح من مالك الهدف
- يجب أن تستهدف عمليات فحص DAST بيئات التطوير/التدريب بشكل افتراضي
- استخدم عناصر التحكم في تحديد المعدل في Nuclei (`-rate-limit`, `-bulk-size`) لتجنب إغراق الأهداف
- sast-semgrep و sca-trivy للقراءة فقط وآمنة للتشغيل على أي قاعدة كود بدون تفويض خاص
- عند فحص المكونات التابعة لطرف ثالث مع sca-trivy، يتم تحليل التحف المحلية/المخزنة مؤقتًا فقط — لا يوجد تحسس خارجي

## معالجة الفشل والتراجع

**المبدأ: الإبلاغ أولًا، عدم الإصلاح التلقائي أبدًا. المراجعة البشرية إلزامية.**

- تنتج الأدوات الثلاثة **تقارير فقط** — لا تعدل الكود المصدري أو تصحح الثغرات الأمنية تلقائيًا
- يجب تصنيف النتائج حسب الخطورة (حرجة > عالية > متوسطة > منخفضة) قبل اتخاذ أي إجراء
- **الإيجابيات الكاذبة متوقعة**، خاصة مع مطابقة الأنماط SAST. تحقق دائمًا من النتائج قبل إنشاء PRs للإصلاح
- لدمج CI/CD: اضبط عتبات الخطورة (`--severity critical,high`) لفشل الإنشاءات فقط في المشكلات عالية التأكيد
- يمكن استيراد إخراج SARIF من sca-trivy إلى تبويب Security في GitHub للرؤية على مستوى الفريق
- احتفظ بنتائج الفحص كتحف — لا تتخلص من التقارير حتى لو تم حل جميع النتائج

## الأوامر الرئيسية

- `/sast-semgrep` — تشغيل التحليل الثابت Semgrep مع تعيين إطار عمل OWASP/CWE
- `/dast-nuclei` — إطلاق الفحص القائم على القوالب Nuclei ضد عنوان URL مستهدف
- `/sca-trivy` — فحص المكونات أو الحاويات أو IaC بحثًا عن CVEs ومشاكل التراخيص

## نصائح

- شغّل sast-semgrep و sca-trivy في CI في كل PR؛ احجز dast-nuclei لمراجعات الأمن المجدولة على بيئة التدريب
- اجمع إخراج SBOM من sca-trivy مع نتائج sast-semgrep للحصول على صورة كاملة لمخاطر سلسلة التوريد
- أنشئ قواعد Semgrep مخصصة وقوالب Nuclei لأنماط الأمن الخاصة بالمؤسسة

المهارات

3
📦

sast-semgrep

مخاطر متوسطة 76

فحص الكود باستخدام Semgrep SAST

تحتاج فرق الأمن إلى مراجعة كود قابلة للتكرار دون بناء القواعد من الصفر. ترشد هذه المهارة إلى عمليات فحص Semgrep، والربط مع OWASP وCWE، والمعالجة، والتكامل مع CI.

🔒 الأمان والامتثال بواسطة AgentSecOps ⚙️🌐🔑📁
📦

dast-nuclei

مخاطر متوسطة 50

فحص تطبيقات الويب باستخدام Nuclei

تحتاج فرق الأمن إلى فحوصات سريعة للثغرات المعروفة دون بناء كل اختبار من الصفر. تساعد هذه المهارة Claude وCodex وClaude Code في توجيه عمليات فحص Nuclei المصرح بها، وسير عمل CI، والتحقق من النتائج.

🔒 الأمان والامتثال بواسطة AgentSecOps ⚙️🌐📁🔑
📦

sca-trivy

مخاطر متوسطة 75

فحص التبعيات والحاويات باستخدام Trivy

تحتاج الفرق إلى طريقة قابلة للتكرار للعثور على الحزم المعرّضة للثغرات، والصور غير الآمنة، وأخطاء تهيئة IaC قبل الإصدار. ترشد هذه المهارة Claude وCodex وClaude Code خلال عمليات فحص Trivy، ومخرجات SBOM، وبوابات CI، وتخطيط المعالجة.

🔒 الأمان والامتثال بواسطة AgentSecOps ⚙️🌐📁