find-bugs
Sicherheitsfehler und Schwachstellen in Codeänderungen finden
Das Finden von Fehlern und Sicherheitsproblemen in Codeänderungen ist zeitaufwendig und erfordert eine systematische Analyse. Diese Skill bietet einen strukturierten Fünf-Phasen-Review-Prozess zur Identifizierung von Injection-Angriffen, XSS, Authentifizierungsfehlern und anderen Sicherheitsschwachstellen in Git-Branch-Diffs.
下载技能 ZIP
在 Claude 中上传
前往 设置 → 功能 → 技能 → 上传技能
开启并开始使用
测试它
正在使用“find-bugs”。 Verwende find-bugs, um meine Branch-Änderungen zu prüfen
预期结果:
- Geprüfte Dateien: 4 Dateien analysiert (auth.js, userController.js, apiRoutes.js, middleware/validation.js)
- Kritisch: SQL Injection in userController.js:58 – Benutzereingabe direkt in Query verkettet
- Hoch: XSS-Schwachstelle in apiRoutes.js:23 – response.write ohne Escaping von Benutzerdaten
- Mittel: Fehlende CSRF-Token-Validierung auf POST /update-profile Endpoint
- Niedrig: Hardcoded API-Key-Referenz in middleware/validation.js:12 – in Umgebungsvariable verschieben
- Verifiziert: Authentifizierungs-Bypass in auth.js:45 wird bereits durch nachfolgende Middleware behandelt
正在使用“find-bugs”。 Führe find-bugs mit Sicherheitsschwerpunkt aus
预期结果:
- Geprüfte Dateien: 2 Dateien geändert (login.js, authMiddleware.js)
- Kritisch: Keine Authentifizierungsprüfung auf DELETE /user/:id Endpoint in login.js:45
- Hoch: Passwort im Klartext geloggt bei authMiddleware.js:78 – logger.warn mit maskierten Werten verwenden
- Mittel: Session-Fixation-Risiko – Session-ID wird nach Login nicht erneuert
- Niedrig: Token-Ablauf auf 24 Stunden gesetzt – kürzere Dauer für sensible Operationen erwägen
安全审计
安全Pure documentation skill containing a structured five-phase code review template for AI-assisted security analysis. No executable code, network calls, filesystem access, or command execution capabilities. All 10 static findings are false positives triggered by security-related vocabulary in documentation text - the scanner triggered on words like 'cryptographic', 'backticks', and 'URL patterns' appearing in documentation, not actual implementation code. The skill consists only of SKILL.md (markdown template) and skill-report.json (metadata).
风险因素
🌐 网络访问 (1)
⚙️ 外部命令 (1)
质量评分
你能构建什么
Pre-commit Security-Review
Prüfe Pull-Request-Änderungen auf Sicherheitsschwachstellen vor dem Merge in den Main-Branch
Bug-Hunting in Branches
Finde systematisch Fehler und Qualitätsprobleme in Feature-Branches vor der Veröffentlichung
Code-Review-Automatisierung
Strukturierte Checkliste für Teammitglieder zur Durchführung konsistenter Sicherheits-Reviews
试试这些提示
Verwende den find-bugs Skill, um den aktuellen Branch auf Fehler oder Sicherheitsprobleme in den geänderten Dateien zu prüfen.
Verwende find-bugs, um ein Sicherheits-Audit meiner Branch-Änderungen durchzuführen. Priorisiere Sicherheitsschwachstellen gegenüber anderen Problemen.
Führe einen vollständigen find-bugs Review meines Branches durch. Prüfe alle Punkte in der Sicherheitscheckliste und berichte die Ergebnisse mit Schweregraden.
Schneller find-bugs Scan nach kritischen oder hohen Schweregrad-Problemen in meinen Branch-Änderungen. Überspringe niedrig priorisierte Punkte.
最佳实践
- Vor dem Merge von sicherheitsrelevanten PRs in den Main-Branch ausführen
- Mit manuellem Review für komplexe Business-Logik-Edge-Cases kombinieren
- Ergebnisse zum Schreiben von Regressionstests für gefundene Probleme verwenden
避免
- Für stilistische Fragen statt Sicherheits- und Funktionsfehler verwenden
- Ergebnisse als unverifiziert markieren ohne zusätzliche Kontextprüfung
- Phase 1 vollständige Eingabeerfassung überspringen, wenn Diff-Ausgabe groß ist