
Boîte à outils de sécurité applicative
Analysez le code, les dépendances et les cibles actives avec un flux de travail AppSec unifié
Installer
Exécutez cette commande pour installer toutes les compétences de ce pack :
npx skillstore add @application-security-toolkit La CLI détecte automatiquement les dossiers Codex et Claude Code et installe la compétence dans les deux lorsqu’ils sont disponibles.
Aperçu
Guide d’utilisation
Amélioré par l’IAGuide détaillé
## Vue d'ensemble Un flux de travail AppSec unifié qui couvre le code, les dépendances et les cibles actives — trois approches de scan complémentaires dans un seul plugin. - **sast-semgrep** — Analyse statique : analyse le code source pour détecter les vulnérabilités avec la mise en correspondance OWASP Top 10 et CWE - **dast-nuclei** — Analyse dynamique : explore les applications web actives, les API et l'infrastructure pour détecter les CVE et les configurations incorrectes connues - **sca-trivy** — Analyse de composition : vérifie les dépendances, les images de conteneurs et l'IaC pour les CVE, les risques de licence et la génération de SBOM ## Démarrage rapide 1. Installez le plugin : `npx skillstore add @application-security-toolkit` 2. Exécutez sast-semgrep contre votre base de code pour trouver les vulnérabilités au niveau du code 3. Utilisez sca-trivy pour analyser les images de conteneurs et les dépendances pour les CVE connues 4. Pointez dast-nuclei vers une cible de **staging** pour détecter les vulnérabilités à l'exécution ## Limites d'autorisation **Critique : L'analyse DAST envoie des requêtes actives aux cibles.** Suivez ces règles : - **Ne lancez jamais dast-nuclei en production** sans autorisation écrite explicite du propriétaire de la cible - Les analyses DAST doivent cibler les environnements de staging/dev par défaut - Utilisez les contrôles de limitation de débit de Nuclei (`-rate-limit`, `-bulk-size`) pour éviter de submerger les cibles - sast-semgrep et sca-trivy sont en lecture seule et peuvent être exécutés sur n'importe quelle base de code sans autorisation spéciale - Lors de l'analyse des dépendances tierces avec sca-trivy, seuls les artefacts locaux/mis en cache sont analysés — aucune probing externe ## Gestion des échecs et rollback **Principe : Signalez d'abord, ne corrigez jamais automatiquement. Une révision humaine est obligatoire.** - Les trois outils produisent uniquement des **rapports** — ils ne modifient pas le code source ni ne corrigent automatiquement les vulnérabilités - Les résultats doivent être triés par gravité (Critique > Élevé > Moyen > Faible) avant toute action - **Les faux positifs sont attendus**, especialmente avec la correspondance de motifs SAST. Vérifiez toujours les résultats avant de créer des PR de correction - Pour l'intégration CI/CD : définissez des seuils de gravité (`--severity critical,high`) pour faire échouer les constructions uniquement sur les problèmes à fort impact confirmé - La sortie SARIF de sca-trivy peut être importée dans l'onglet Sécurité GitHub pour une visibilité équipe - Conservez les résultats des analyses comme artefacts — ne rejetez pas les rapports même si tous les résultats sont résolus ## Commandes principales - `/sast-semgrep` — Exécutez l'analyse statique Semgrep avec la mise en correspondance du framework OWASP/CWE - `/dast-nuclei` — Lancez l'analyse basée sur les modèles Nuclei contre une URL cible - `/sca-trivy` — Analysez les dépendances, les conteneurs ou l'IaC pour les CVE et les problèmes de licence ## Conseils - Exécutez sast-semgrep et sca-trivy dans la CI à chaque PR ; réservez dast-nuclei pour les revues de sécurité planifiées sur staging - Combinez la sortie SBOM de sca-trivy avec les résultats de sast-semgrep pour une image complète des risques de la chaîne d'approvisionnement - Créez des règles Semgrep personnalisées et des modèles Nuclei pour les modèles de sécurité spécifiques à l'organisation
Compétences
3sast-semgrep
Risque moyen 76Analyser le code avec Semgrep SAST
Les équipes de sécurité ont besoin d’une revue de code répétable sans créer de règles à partir de zéro. Cette compétence guide les analyses Semgrep, le mappage OWASP et CWE, la remédiation et l’intégration CI.
dast-nuclei
Risque moyen 50Analyser des applications web avec Nuclei
Les équipes de sécurité ont besoin de vérifications rapides des vulnérabilités connues sans créer chaque test à partir de zéro. Cette compétence aide Claude, Codex et Claude Code à guider les analyses Nuclei autorisées, les workflows CI et la validation des résultats.
sca-trivy
Risque moyen 75Analyser les dépendances et les conteneurs avec Trivy
Les équipes ont besoin d’un moyen reproductible pour détecter les paquets vulnérables, les images non sécurisées et les mauvaises configurations IaC avant la publication. Cette compétence guide Claude, Codex et Claude Code dans les analyses Trivy, la production de SBOM, les contrôles CI et la planification des remédiations.
Packs similaires

OpenClaw Moniteur de Sécurité
Analyse de sécurité automatisée, analyse des vulnérabilités et revue de sécurité du code pour les actifs autorisés
3 compétences

Porte de publication front-end
Un workflow de pré-publication pour les changements axés sur l'interface utilisateur qui détecte les flux cassés, les régressions de lint/types et les problèmes de sécurité évidents avant la publication.
3 compétences

Suite d'Évaluation de Sécurité
Boîte à outils complète de tests de sécurité pour applications web. Couvre l'analyse de vulnérabilités, les tests de contrôle d'accès et l'évaluation de sécurité SSH.
3 compétences