技能 vibe-security
🛡️
코드 보안 취약점으로 인해 데이터 유출과 시스템 침해가 발생할 수 있습니다. 이 스킬은 AST 기반 분석과 패턴 매칭을 통해 SQL 주입, XSS, 명령어 주입 및 기타 취약점을 식별합니다. 신뢰도 점수가 포함된 실행 가능한 수정 사항을 제공합니다.
支援: Claude Codex Code(CC)
1
下載技能 ZIP
2
在 Claude 中上傳
前往 設定 → 功能 → 技能 → 上傳技能
3
開啟並開始使用
測試它
正在使用「vibe-security」。 src/database.js에서 SQL 주입 취약점을 스캔하세요
預期結果:
- 심각: src/database.js:45에서 SQL 주입
- 코드: db.query(`SELECT * FROM users WHERE id = ${userId}`)
- 수정: 매개변수화된 쿼리 사용
- 신뢰도: 95%
安全審計
低風險v2 • 1/10/2026
Legitimate security scanning tool with no malicious patterns. Contains Python scripts and filesystem access required for code analysis. Uses subprocess only for standard package manager audit tools (npm, pip-audit, cargo). All data processing is local with no exfiltration.
9
已掃描檔案
2,641
分析行數
4
發現項
2
審計總數
低風險問題 (1)
External subprocess execution for package scanning
The CVE integration module uses subprocess to invoke package manager audit tools: npm audit (lines 33-39), pip-audit (lines 72-77), and cargo audit (lines 148-154). These are legitimate security scanning operations but represent external command execution that requires trust.
風險因素
⚡ 包含腳本 (8)
📁 檔案系統存取 (5)
審計者: claude 查看審計歷史 →
品質評分
45
架構
100
可維護性
81
內容
22
社群
88
安全
70
規範符合性
你能建構什麼
커밋 전 보안 스캐닝
코드를 커밋하기 전에 변경 사항을 스캔하여 개발 초기 단계에서 취약점을 발견
자동화된 의존성 감사
npm, PyPI, Cargo 생태계에서 알려진 CVE에 대해 프로젝트 의존성 확인
보안 중심 코드 리뷰
풀 리퀘스트에서 SQL 주입, XSS, 명령어 주입 패턴 분석
試試這些提示
빠른 보안 스캔
AST 분석을 사용하여 이 파일의 보안 취약점을 스캔하세요: <file_path>
SQL 주입 수정
이 SQL 주입 취약점에 대한 수정을 생성하세요. 언어: javascript. 코드: db.query(`SELECT * FROM users WHERE id = ${userId}`)의존성 확인
이 프로젝트에서 npm 패키지의 CVE를 찾아 의존성 취약점 스캔을 실행하세요
전체 보안 감사
AST 분석, 데이터 흐름 추적, 의존성 스캐닝을 포함한 포괄적인 보안 감사를 수행합니다. 심각도 수준과 수정 단계를 포함한 결과를 보고하세요.
最佳實務
- 모든 코드 커밋이나 풀 리퀘스트 전에 보안 스캔 실행
- 심각하고 높은 심각도의 취약점 즉시 해결
- 프로덕션 코드에 적용하기 전에 수정 제안 검토
- 모든 데이터베이스 작업에 문자열 연결 대신 매개변수화된 쿼리 사용
避免
- SQL 쿼리를 구성하기 위해 문자열 연결 사용
- eval() 또는 exec() 함수에 사용자 입력 직접 전달
- 내부HTML 속성에 비살균화된 사용자 입력 할당
- MD5나 SHA1과 같은 약한 암호화 알고리즘 사용
常見問題
어떤 프로그래밍 언어가 지원되나요?
JavaScript, TypeScript, Python, PHP, Java, Go, Ruby가 취약점 스캐닝에 지원됩니다.
스캔의 최대 파일 크기는 얼마인가요?
파일은 메모리에서 처리됩니다.非常大的 파일은 더 오래 걸릴 수 있지만 하드 크기 제한은 없습니다.
이 스킬이 CI/CD 파이프라인과 통합되나요?
네. GitHub Code Scanning 및 기타 CI 시스템을 위해 JSON 및 SARIF 형식으로 보고서를 생성할 수 있습니다.
내 코드가 외부 서버로 전송되나요?
아니요. 모든 분석은 로컬에서 사용자의 머신에서 실행됩니다. 의존성은 로컬에서 공개 데이터베이스와 비교됩니다.
스캔이 타임아웃되면 어떻게 해야 하나요?
더 작은 파일이나 디렉토리를 스캔해 보세요. 필요한 경우 스크립트에서 하위 프로세스 타임아웃 값을 늘리세요.
Snyk나 npm audit과 비교하면 어떻게 되나요?
이 도구는 코드 수준의 취약점 탐지를 제공합니다. 포괄적인 적용 범위를 위해 Snyk와 같은 의존성 스캐너와 함께 사용하세요.