
Kit de Herramientas de Seguridad de Aplicaciones
Escanea código, dependencias y objetivos en ejecución con un flujo de trabajo unificado de AppSec
Instalar
Ejecuta este comando para instalar todas las habilidades de este pack:
npx skillstore add @application-security-toolkit La CLI detecta automáticamente las carpetas de Codex y Claude Code y las instala en ambas cuando están disponibles.
Descripción general
Guía de uso
Mejorado por IAGuía detallada
## Descripción General Un flujo de trabajo unificado de AppSec que abarca código, dependencias y objetivos en ejecución — tres enfoques de escaneo complementarios en un solo plugin. - **sast-semgrep** — Análisis estático: escanea código fuente en busca de vulnerabilidades con mapeo OWASP Top 10 y CWE - **dast-nuclei** — Escaneo dinámico: prueba aplicaciones web, API e infraestructura en ejecución en busca de CVE conocidos y configuraciones incorrectas - **sca-trivy** — Análisis de composición: verifica dependencias, imágenes de contenedores e IaC en busca de CVE, riesgos de licencias y generación de SBOM ## Inicio Rápido 1. Instala el plugin: `npx skillstore add @application-security-toolkit` 2. Ejecuta sast-semgrep contra tu base de código para encontrar vulnerabilidades a nivel de código 3. Usa sca-trivy para escanear imágenes de contenedor y dependencias en busca de CVE conocidos 4. Apunta dast-nuclei a un objetivo de **staging** para detectar vulnerabilidades en tiempo de ejecución ## Límites de Autorización **Importante: El escaneo DAST envía solicitudes activas a los objetivos.** Sigue estas reglas: - **Nunca ejecutes dast-nuclei contra producción** sin autorización escrita explícita del propietario del objetivo - Los escaneos DAST deben tener como objetivo entornos de staging/dev por defecto - Usa los controles de limitación de tasa de Nuclei (`-rate-limit`, `-bulk-size`) para no saturar los objetivos - sast-semgrep y sca-trivy son de solo lectura y seguros para ejecutar en cualquier base de código sin autorización especial - Al escanear dependencias de terceros con sca-trivy, solo se analizan artefactos locales/en caché — sin sondeo externo ## Manejo de Fallos y Rollback **Principio: Reporta primero, nunca auto-corrijas. La revisión humana es obligatoria.** - Las tres herramientas producen **solo reportes** — no modifican código fuente ni parchean vulnerabilidades automáticamente - Los hallazgos deben ser priorizados por severidad (Crítico > Alto > Medio > Bajo) antes de tomar acción - **Los falsos positivos son esperados**, especialmente con emparejamiento de patrones SAST. Siempre verifica los hallazgos antes de crear PRs de corrección - Para integración CI/CD: establece umbrales de severidad (`--severity critical,high`) para fallar builds solo en problemas de alto impacto confirmados - La salida SARIF de sca-trivy puede importarse a la pestaña de Seguridad de GitHub para visibilidad equipo - Guarda los resultados de escaneo como artefactos — no descartes reportes incluso si todos los hallazgos están resueltos ## Comandos Clave - `/sast-semgrep` — Ejecuta análisis estático de Semgrep con mapeo de framework OWASP/CWE - `/dast-nuclei` — Inicia escaneo basado en plantillas de Nuclei contra una URL objetivo - `/sca-trivy` — Escanea dependencias, contenedores o IaC en busca de CVE y problemas de licencias ## Consejos - Ejecuta sast-semgrep y sca-trivy en CI en cada PR; reserva dast-nuclei para revisiones de seguridad programadas en staging - Combina la salida SBOM de sca-trivy con los hallazgos de sast-semgrep para una imagen completa del riesgo de la cadena de suministro - Crea reglas Semgrep personalizadas y plantillas de Nuclei para patrones de seguridad específicos de tu organización
Habilidades
3sast-semgrep
Riesgo medio 76Analizar código con Semgrep SAST
Los equipos de seguridad necesitan revisiones de código repetibles sin crear reglas desde cero. Esta skill guía los análisis de Semgrep, el mapeo con OWASP y CWE, la remediación y la integración con CI.
dast-nuclei
Riesgo medio 50Escanear aplicaciones web con Nuclei
Los equipos de seguridad necesitan comprobaciones rápidas para vulnerabilidades conocidas sin crear cada prueba desde cero. Esta skill ayuda a Claude, Codex y Claude Code a guiar escaneos autorizados con Nuclei, flujos de trabajo de CI y validación de resultados.
sca-trivy
Riesgo medio 75Escanear dependencias y contenedores con Trivy
Los equipos necesitan una forma repetible de encontrar paquetes vulnerables, imágenes inseguras y configuraciones incorrectas de IaC antes del lanzamiento. Esta skill guía a Claude, Codex y Claude Code a través de escaneos con Trivy, salida SBOM, controles de CI y planificación de remediación.
Packs similares

OpenClaw Security Monitor
Escaneo automatizado de seguridad, análisis de vulnerabilidades y revisión de seguridad de código para activos autorizados
3 habilidades

Puerta de Lanzamiento de Frontend
Un flujo de trabajo previo al lanzamiento para cambios con muchas modificaciones en la interfaz de usuario que detecta flujos rotos, regresiones de lint/tipos y problemas de seguridad obvios antes del despliegue.
3 habilidades

Suite de Evaluación de Seguridad
Kit de herramientas integral de pruebas de seguridad para aplicaciones web. Cubre escaneo de vulnerabilidades, pruebas de control de acceso y evaluación de seguridad SSH.
3 habilidades