
مجموعة أدوات أمان التطبيقات
فحص الكود والمكونات والأهداف قيد التشغيل باستخدام موحد سير عمل أمان التطبيقات
تثبيت
شغّل هذا الأمر لتثبيت جميع المهارات في هذا الحزمة:
npx skillstore add @application-security-toolkit تكتشف CLI مجلدات Codex وClaude Code تلقائيًا وتثبّت فيهما عند توفرهما.
نظرة عامة
دليل الاستخدام
محسّن بالذكاء الاصطناعيدليل مفصل
## نظرة عامة موحد سير عمل أمان التطبيقات الذي يغطي الكود والمكونات والأهداف قيد التشغيل — ثلاثة أساليب فحص مكملة في مكون إضافي واحد. - **sast-semgrep** — التحليل الثابت: يفحص الكود المصدري بحثًا عن الثغرات الأمنية مع تعيين OWASP Top 10 و CWE - **dast-nuclei** — الفحص الديناميكي: يتحسس تطبيقات الويب قيد التشغيل وواجهات API والبنية التحتية بحثًا عن الثغرات المعروفة (CVEs) والتكوينات الخاطئة - **sca-trivy** — تحليل التكوين: يتحقق من المكونات وصور الحاويات و IaC من CVEs ومخاطر التراخيص وتوليد SBOM ## البدء السريع 1. ثبّت المكون الإضافي: `npx skillstore add @application-security-toolkit` 2. شغّل sast-semgrep ضد قاعدة الكود الخاصة بك للعثور على الثغرات على مستوى الكود 3. استخدم sca-trivy لفحص صور الحاويات والمكونات بحثًا عن CVEs المعروفة 4. وجّه dast-nuclei إلى هدف **تدريبي** للكشف عن الثغرات في وقت التشغيل ## حدود التفويض **هام: يرسل فحص DAST طلبات حية إلى الأهداف.** اتبع هذه القواعد: - **لا تشغّل dast-nuclei أبدًا ضد بيئة الإنتاج** بدون تفويض كتابي صريح من مالك الهدف - يجب أن تستهدف عمليات فحص DAST بيئات التطوير/التدريب بشكل افتراضي - استخدم عناصر التحكم في تحديد المعدل في Nuclei (`-rate-limit`, `-bulk-size`) لتجنب إغراق الأهداف - sast-semgrep و sca-trivy للقراءة فقط وآمنة للتشغيل على أي قاعدة كود بدون تفويض خاص - عند فحص المكونات التابعة لطرف ثالث مع sca-trivy، يتم تحليل التحف المحلية/المخزنة مؤقتًا فقط — لا يوجد تحسس خارجي ## معالجة الفشل والتراجع **المبدأ: الإبلاغ أولًا، عدم الإصلاح التلقائي أبدًا. المراجعة البشرية إلزامية.** - تنتج الأدوات الثلاثة **تقارير فقط** — لا تعدل الكود المصدري أو تصحح الثغرات الأمنية تلقائيًا - يجب تصنيف النتائج حسب الخطورة (حرجة > عالية > متوسطة > منخفضة) قبل اتخاذ أي إجراء - **الإيجابيات الكاذبة متوقعة**، خاصة مع مطابقة الأنماط SAST. تحقق دائمًا من النتائج قبل إنشاء PRs للإصلاح - لدمج CI/CD: اضبط عتبات الخطورة (`--severity critical,high`) لفشل الإنشاءات فقط في المشكلات عالية التأكيد - يمكن استيراد إخراج SARIF من sca-trivy إلى تبويب Security في GitHub للرؤية على مستوى الفريق - احتفظ بنتائج الفحص كتحف — لا تتخلص من التقارير حتى لو تم حل جميع النتائج ## الأوامر الرئيسية - `/sast-semgrep` — تشغيل التحليل الثابت Semgrep مع تعيين إطار عمل OWASP/CWE - `/dast-nuclei` — إطلاق الفحص القائم على القوالب Nuclei ضد عنوان URL مستهدف - `/sca-trivy` — فحص المكونات أو الحاويات أو IaC بحثًا عن CVEs ومشاكل التراخيص ## نصائح - شغّل sast-semgrep و sca-trivy في CI في كل PR؛ احجز dast-nuclei لمراجعات الأمن المجدولة على بيئة التدريب - اجمع إخراج SBOM من sca-trivy مع نتائج sast-semgrep للحصول على صورة كاملة لمخاطر سلسلة التوريد - أنشئ قواعد Semgrep مخصصة وقوالب Nuclei لأنماط الأمن الخاصة بالمؤسسة
المهارات
3sast-semgrep
مخاطر متوسطة 76فحص الكود باستخدام Semgrep SAST
تحتاج فرق الأمن إلى مراجعة كود قابلة للتكرار دون بناء القواعد من الصفر. ترشد هذه المهارة إلى عمليات فحص Semgrep، والربط مع OWASP وCWE، والمعالجة، والتكامل مع CI.
dast-nuclei
مخاطر متوسطة 50فحص تطبيقات الويب باستخدام Nuclei
تحتاج فرق الأمن إلى فحوصات سريعة للثغرات المعروفة دون بناء كل اختبار من الصفر. تساعد هذه المهارة Claude وCodex وClaude Code في توجيه عمليات فحص Nuclei المصرح بها، وسير عمل CI، والتحقق من النتائج.
sca-trivy
مخاطر متوسطة 75فحص التبعيات والحاويات باستخدام Trivy
تحتاج الفرق إلى طريقة قابلة للتكرار للعثور على الحزم المعرّضة للثغرات، والصور غير الآمنة، وأخطاء تهيئة IaC قبل الإصدار. ترشد هذه المهارة Claude وCodex وClaude Code خلال عمليات فحص Trivy، ومخرجات SBOM، وبوابات CI، وتخطيط المعالجة.
حزم مشابهة

مراقب أمان OpenClaw
فحص أمني آلي، وتحليل الثغرات، ومراجعة أمان الكود للأصول المصرح بها
3 مهارات

بوابة إصدارات الواجهة الأمامية
سير عمل ما قبل الإصدار للتغييرات الكبيرة في الواجهة الأمامية يكتشف التدفقات المكسورة وتراجعات lint/type والمشاكل الأمنية الواضحة قبل الشحن.
3 مهارات

مجموعة تقييم الأمان
مجموعة أدوات اختبار أمان شاملة لتطبيقات الويب. تغطي فحص الثغرات الأمنية، واختبار التحكم في الوصول، وتقييم أمان البنية التحتية لـ SSH.
3 مهارات