スキル security-audit
🔒

security-audit

安全 📁 ファイルシステムへのアクセス

Code auf Sicherheitslücken und Risiken prüfen

こちらからも入手できます: sickn33,Joseph OBrien,ClementWalter,Joseph OBrien,Consiliency

Manuelle Sicherheitsüberprüfungen sind zeitaufwändig und können häufige Sicherheitslücken übersehen. Diese Fähigkeit prüft Code systematisch auf Command Injection, Berechtigungsprobleme und offengelegte Geheimnisse mittels schreibgeschützter Analyse.

対応: Claude Codex Code(CC)
📊 69 十分
1

スキルZIPをダウンロード

2

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロードへ移動

3

オンにして利用開始

テストする

「security-audit」を使用しています。 Run a security audit on this codebase

期待される結果:

  • Critical: Shell-Injection-Risiko gefunden. Benutzereingabe mit Systemaufruf verkettet.
  • Critical: WebSocket-Endpunkt lacks Authentifizierungs-Middleware.
  • Warning: Environment-Datei nicht in gitignore aufgeführt.
  • Warning: Geheimnisse werden ohne Verwendung der dotenv-Bibliothek geladen.
  • Empfehlung: Verwenden Sie parametrisierte Befehle statt String-Verkettung.
  • Empfehlung: Fügen Sie Authentifizierung zu allen WebSocket-Endpunkten hinzu.

「security-audit」を使用しています。 Check for hardcoded secrets

期待される結果:

  • 2 potenzielle hartcodierte Geheimnisse gefunden:
  • - config.py Zeile 15: API_KEY-Variable enthält literalen String-Wert
  • - settings.json Zeile 8: Enthält Datenbankpasswort in Klartext
  • Empfehlung: Verschieben Sie diese Werte in Umgebungsvariablen.
  • Empfehlung: Fügen Sie diese Dateien zu gitignore hinzu, falls sie Geheimnisse enthalten.

セキュリティ監査

安全
v5 • 1/16/2026

This is a prompt-based skill with read-only tools (Read, Grep, Glob). All static findings are false positives triggered by instructional content describing what security issues to look for. No executable code exists. The skill explicitly declares read-only operation and includes guardrails against exploiting vulnerabilities.

2
スキャンされたファイル
243
解析された行数
1
検出結果
5
総監査数

リスク要因

📁 ファイルシステムへのアクセス (1)
SKILL.md:4
監査者: claude 監査履歴を表示 →

品質スコア

38
アーキテクチャ
100
保守性
87
コンテンツ
20
コミュニティ
100
セキュリティ
91
仕様準拠

作れるもの

Sicherheitsprüfung vor der Bereitstellung

Führen Sie eine umfassende Sicherheitsprüfung durch, bevor Sie Code in Produktionsumgebungen bereitstellen, um kritische Probleme frühzeitig zu erkennen

Bewertung von Drittanbieter-Code

Identifizieren Sie Command-Injection-Risiken, Berechtigungsprobleme und offengelegte Geheimnisse in externem oder Vendor-Code

Sicherheits-Checkpoint bei Code-Reviews

Integrieren Sie automatisierte Sicherheitsprüfungen in Ihren Code-Review-Workflow, bevor Sie Pull Requests mergen

これらのプロンプトを試す

Schnelle Sicherheitsprüfung 
Führen Sie eine Sicherheitsprüfung dieses Codebasisses durch und melden Sie alle kritischen Sicherheitslücken
Command-Injection-Review 
Prüfen Sie alle Command-Execution-Muster im Backend-Code auf Shell-Injection-Sicherheitslücken
Geheimnis-Audit 
Auditieren Sie dieses Projekt auf hartcodierte API-Schlüssel, Passwörter oder Geheimnisse, die nicht in die Versionskontrolle eingecheckt werden sollten
Vollständiger Sicherheitsbericht 
Führen Sie eine vollständige Sicherheitsprüfung durch, einschließlich Command-Execution, Tool-Berechtigungen, Geheimnis-Management, WebSocket-Sicherheit und Frontend-Sicherheitslücken. Erstellen Sie einen detaillierten Bericht mit Schweregraden.

ベストプラクティス

  • Führen Sie Sicherheitsprüfungen durch, bevor Sie Code mit Command-Execution oder Geheimnissen mergen
  • Beheben Sie kritische Befunde sofort und Warnungen vor der Produktionsbereitstellung
  • Verwenden Sie diese Fähigkeit als Teil Ihres regulären Code-Review-Workflows

回避

  • Ignorieren von Audit-Warnungen für internen oder vertrauenswürdigen Code
  • Durchführen von Audits nur vor großen Releases statt kontinuierlich
  • Implementieren von Fixes ohne Verständnis der zugrunde liegenden Sicherheitslücke

よくある質問

Welche AI-Werkzeuge funktionieren mit dieser Fähigkeit?
Diese Fähigkeit funktioniert mit Claude Code, Claude und Codex. Sie erfordert Read-, Grep- und Glob-Tool-Fähigkeiten.
Welche Sicherheitsprobleme kann diese Fähigkeit erkennen?
Sie prüft auf Shell-Injection, hartcodierte Geheimnisse, fehlende Authentifizierung, Berechtigungsfehlkonfigurationen und XSS-Sicherheitslücken.
Ändert diese Fähigkeit meinen Code?
Nein. Dies ist ein schreibgeschütztes Analysewerkzeug. Es empfiehlt Fixes, nimmt aber keine Änderungen ohne Ihre ausdrückliche Freigabe vor.
Ist mein Code während des Audits sicher?
Ja. Die Fähigkeit verwendet nur schreibgeschützte Werkzeuge und protokolliert, speichert oder überträgt niemals entdeckte Geheimnisse oder sensible Daten.
Was sollte ich mit den Audit-Ergebnissen tun?
Beheben Sie kritische Probleme vor der Bereitstellung. Beheben Sie Warnungen, wenn möglich. Implementieren Sie Empfehlungen als laufende Sicherheitspraxis.
Wie unterscheidet sich dies von automatisierten Scannern?
Diese Fähigkeit bietet kontextbezogene Analyse mittels AI-Reasoning mit spezifischer Remediation-Anleitung, die auf Ihren Codebase zugeschnitten ist.

開発者の詳細

作成者

AppleLamps

ライセンス

MIT

リポジトリ

https://github.com/AppleLamps/web-term/tree/main/.claude/skills/security-audit

参照

main

ファイル構成

📄 SKILL.md