技能 vibe-security
🛡️

vibe-security

低風險 ⚡ 包含腳本📁 檔案系統存取⚙️ 外部命令

Code auf Sicherheitslücken scannen

也可從以下取得: 0x8506

Sicherheitslücken im Code können zu Datenlecks und Systemkompromittierung führen. Diese Skill identifiziert SQL-Injection, XSS, Command Injection und andere Schwachstellen durch AST-basierte Analyse und Pattern Matching. Er liefert umsetzbare Fixes mit Vertrauensbewertungen.

支援: Claude Codex Code(CC)
⚠️ 66
1

下載技能 ZIP

2

在 Claude 中上傳

前往 設定 → 功能 → 技能 → 上傳技能

3

開啟並開始使用

測試它

正在使用「vibe-security」。 Scan src/database.js for SQL injection vulnerabilities

預期結果:

  • CRITICAL: SQL injection at src/database.js:45
  • Code: db.query(`SELECT * FROM users WHERE id = ${userId}`)
  • Fix: Use parameterized queries
  • Confidence: 95%

安全審計

低風險
v2 • 1/10/2026

Legitimate security scanning tool with no malicious patterns. Contains Python scripts and filesystem access required for code analysis. Uses subprocess only for standard package manager audit tools (npm, pip-audit, cargo). All data processing is local with no exfiltration.

9
已掃描檔案
2,641
分析行數
4
發現項
2
審計總數
低風險問題 (1)
scripts/cve_integration.py:33-39
External subprocess execution for package scanning
The CVE integration module uses subprocess to invoke package manager audit tools: npm audit (lines 33-39), pip-audit (lines 72-77), and cargo audit (lines 148-154). These are legitimate security scanning operations but represent external command execution that requires trust.

風險因素

⚡ 包含腳本 (8)
scripts/core.py:1-133 scripts/ast_analyzer.py:1-262 scripts/dataflow_analyzer.py:1-288 scripts/fix_engine.py:1-360 scripts/cve_integration.py:1-284 scripts/autofix_engine.py:1-383 scripts/search.py:1-113 scripts/reporter.py:1-333
📁 檔案系統存取 (5)
scripts/ast_analyzer.py:216 scripts/dataflow_analyzer.py:246 scripts/autofix_engine.py:81-122 scripts/cve_integration.py:25-27 scripts/reporter.py:88-264
⚙️ 外部命令 (3)
scripts/cve_integration.py:33-39 scripts/cve_integration.py:72-77 scripts/cve_integration.py:148-154
審計者: claude 查看審計歷史 →

品質評分

45
架構
100
可維護性
81
內容
22
社群
88
安全
70
規範符合性

你能建構什麼

Pre-Commit-Sicherheitsscan

Codeänderungen vor dem Commit scannen, um Schwachstellen früh in der Entwicklung zu erkennen

Automatisiertes Abhängigkeits-Auditing

Projektabhängigkeiten auf bekannte CVEs in den Ökosystemen npm, PyPI und Cargo prüfen

Sicherheitsfokussiertes Code-Review

Pull Requests auf SQL-Injection-, XSS- und Command-Injection-Patterns analysieren

試試這些提示

Schneller Sicherheitsscan 
Scan this file for security vulnerabilities using AST analysis: <file_path>
SQL-Injection beheben 
Generate a fix for this SQL injection vulnerability. Language: javascript. Code: db.query(`SELECT * FROM users WHERE id = ${userId}`)
Abhängigkeiten prüfen 
Run dependency vulnerability scan on this project looking for CVEs in npm packages
Vollständiges Security-Audit 
Perform a comprehensive security audit including AST analysis, data flow tracking, and dependency scanning. Report findings with severity levels and remediation steps.

最佳實務

  • Sicherheitsscans vor jedem Code-Commit oder Pull Request ausführen
  • Kritische und hoch eingestufte Schwachstellen sofort beheben
  • Fix-Vorschläge vor der Anwendung auf Produktionscode überprüfen
  • Für alle Datenbankoperationen parametrisierte Abfragen statt String-Konkatenation verwenden

避免

  • String-Konkatenation zum Erstellen von SQL-Abfragen verwenden
  • Benutzereingaben direkt an eval()- oder exec()-Funktionen übergeben
  • Nicht bereinigte Benutzereingaben innerHTML-Properties zuweisen
  • Schwache kryptografische Algorithmen wie MD5 oder SHA1 verwenden

常見問題

Welche Programmiersprachen werden unterstützt?
JavaScript, TypeScript, Python, PHP, Java, Go und Ruby werden für das Scannen von Schwachstellen unterstützt.
Wie groß darf eine Datei maximal sein, um gescannt zu werden?
Dateien werden im Speicher verarbeitet. Sehr große Dateien können länger dauern, aber es gibt keine feste Größenbeschränkung.
Integriert sich diese Skill in CI/CD-Pipelines?
Ja. Berichte können im JSON- und SARIF-Format für GitHub Code Scanning und andere CI-Systeme erzeugt werden.
Wird mein Code an externe Server gesendet?
Nein. Alle Analysen laufen lokal auf Ihrem Rechner. Abhängigkeiten werden lokal gegen öffentliche Datenbanken geprüft.
Was soll ich tun, wenn Scans ein Timeout erreichen?
Versuchen Sie, kleinere Dateien oder Verzeichnisse zu scannen. Erhöhen Sie bei Bedarf die Subprozess-Timeout-Werte im Skript.
Wie verhält sich das im Vergleich zu Snyk oder npm audit?
Dieses Tool bietet Schwachstellenerkennung auf Code-Ebene. Nutzen Sie es zusammen mit Dependency-Scannern wie Snyk für eine umfassende Abdeckung.

開發者詳情

作者

0x8506

授權

MIT

儲存庫

https://github.com/0x8506/vibe-security/tree/main/cli/assets/.claude/skills/vibe-security

引用

main

檔案結構

📁 data/

📄 advanced-patterns.csv

📄 compliance-mapping.csv

📄 fix-templates.csv

📄 frameworks.csv

📄 iac-security.csv

📄 languages-extended.csv

📄 patterns.csv

📄 rules.csv

📄 supply-chain.csv

📄 vulnerabilities.csv

📁 scripts/

📄 ast_analyzer.py

📄 autofix_engine.py

📄 core.py

📄 cve_integration.py

📄 dataflow_analyzer.py

📄 fix_engine.py

📄 reporter.py

📄 search.py

📄 SKILL.md