スキル security-fundamentals
🛡️

security-fundamentals

安全 🌐 ネットワークアクセス📁 ファイルシステムへのアクセス⚡ スクリプトを含む⚙️ 外部コマンド🔑 環境変数

Revisar segurança de código e conformidade OWASP

Vulnerabilidades de segurança no código levam a violações de dados e comprometimento do sistema. Esta skill fornece checklists sistemáticos e orientação OWASP Top 10 para revisões de segurança completas durante o desenvolvimento.

対応: Claude Codex Code(CC)
📊 69 十分
1

スキルZIPをダウンロード

2

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロードへ移動

3

オンにして利用開始

テストする

「security-fundamentals」を使用しています。 Revise este código de autenticação para problemas de segurança

期待される結果:

  • • Senhas parecem estar com hash usando bcrypt - BOM
  • • Token não tem expiração definida - RISCO: vulnerabilidade de roubo de token
  • • Sem limitação de taxa no endpoint de login - RISCO: ataque de força bruta
  • • Sessão validada no servidor - BOM
  • • Considere adicionar: expiração de token, limitação de taxa, rastreamento de falhas de login

「security-fundamentals」を使用しています。 Verifique este endpoint de API para vulnerabilidades

期待される結果:

  • • ID do usuário vem de parâmetro de URL - RISCO POTENCIAL DE IDOR
  • • Sem verificação de propriedade antes do acesso aos dados
  • • Resposta da API inclui objeto de usuário completo com campos internos
  • • Considere adicionar: verificação de propriedade, filtragem de resposta, registro de acesso

「security-fundamentals」を使用しています。 Revise consultas de banco de dados para riscos de injeção

期待される結果:

  • • Consulta usa interpolação de string - VULNERÁVEL a injeção SQL
  • • Entrada do usuário concatenada diretamente na string de consulta
  • • Recomendação: Use consultas parametrizadas com placeholders
  • • Também valide e sanitize todas as entradas do usuário antes de consultar

セキュリティ監査

安全
v5 • 1/16/2026

This is a pure documentation skill containing only checklists, examples, and guidance for security code reviews. All 45 static findings are FALSE POSITIVES - the skill contains no executable code, network calls, filesystem operations, or external command execution. References to dangerous patterns (eval, innerHTML, md5, backticks) are educational examples showing what NOT to do. This skill is safe for publication.

2
スキャンされたファイル
345
解析された行数
5
検出結果
5
総監査数

リスク要因

🌐 ネットワークアクセス (1)
skill-report.json:6
📁 ファイルシステムへのアクセス (1)
skill-report.json:6
⚡ スクリプトを含む (4)
SKILL.md:132 SKILL.md:132 SKILL.md:132 SKILL.md:107
⚙️ 外部コマンド (21)
SKILL.md:57-58 SKILL.md:58-61 SKILL.md:61-64 SKILL.md:64-69 SKILL.md:69-72 SKILL.md:72-76 SKILL.md:76-79 SKILL.md:79-92 SKILL.md:92-95 SKILL.md:95-103 SKILL.md:103-106 SKILL.md:106-111 SKILL.md:111-122 SKILL.md:122-123 SKILL.md:123-132 SKILL.md:132 SKILL.md:132-133 SKILL.md:133 SKILL.md:133-136 SKILL.md:136-166 SKILL.md:166
🔑 環境変数 (2)
SKILL.md:100 SKILL.md:100
監査者: claude 監査履歴を表示 →

品質スコア

38
アーキテクチャ
100
保守性
87
コンテンツ
20
コミュニティ
100
セキュリティ
91
仕様準拠

作れるもの

Padronizar Revisões de Segurança

Aplicar checklist OWASP consistente em todos os pull requests para garantir que nenhuma lacuna de segurança passe despercebida.

Proteger Endpoints de API

Revisar autenticação, autorização e tratamento de entrada no código da API antes da implantação.

Aprender Padrões de Segurança

Usar perguntas socráticas para entender por que os controles de segurança são necessários e como implementá-los.

これらのプロンプトを試す

Revisão Rápida de Autenticação 
Revise este código de autenticação para problemas de segurança OWASP. Verifique o tratamento de senhas, segurança de tokens e gerenciamento de sessão.
Verificação de Segurança de API 
Analise este endpoint de API para bugs de autorização, vulnerabilidades IDOR e exposição de dados sensíveis nas respostas.
Teste de Injeção em Consultas 
Verifique este código de banco de dados para vulnerabilidades de injeção SQL. Confirme que todas as consultas usam instruções parametrizadas.
Auditoria Completa de Segurança 
Execute uma revisão de segurança completa desta base de código. Aplique o checklist OWASP Top 10 e identifique todas as vulnerabilidades potenciais.

ベストプラクティス

  • Aplicar a skill a cada pull request contendo código de autenticação, API ou manipulação de dados
  • Usar as perguntas socráticas para ajudar desenvolvedores júnior a entender princípios de segurança
  • Executar o checklist OWASP completo antes de implantar em produção

回避

  • Revisar segurança apenas no final do desenvolvimento em vez de continuamente
  • Confiar na validação do lado do cliente sem verificação do lado do servidor
  • Retornar objetos completos do banco de dados em vez de respostas de API filtradas

よくある質問

Quais ferramentas de IA suportam esta skill?
Funciona com Claude, Codex e Claude Code para fluxos de trabalho abrangentes de revisão de segurança.
Esta skill verifica CVEs conhecidos?
Não. Esta skill revisa padrões de código para vulnerabilidades. Use scanners de dependências para detecção de CVE.
Quanto tempo leva uma revisão de segurança?
Revisões típicas são concluídas em segundos. Bases de código complexas podem exigir múltiplos prompts de revisão focados.
Isto pode substituir testes de segurança manuais?
Não. Use isto para revisão de código durante o desenvolvimento. Testes manuais e testes de penetração continuam necessários.
Meu código é enviado externamente para revisão?
Não. Toda a revisão acontece localmente dentro da sua ferramenta de IA. Nenhum código sai do seu ambiente.
Como isto se compara a ferramentas SAST?
Esta skill fornece orientação de segurança legível por humanos. Ferramentas SAST automatizam a detecção de vulnerabilidades mas não têm contexto.

開発者の詳細

作成者

DanielPodolsky

ライセンス

MIT

リポジトリ

https://github.com/DanielPodolsky/mentor-spec/tree/main/.claude/skills/fundamentals/security

参照

main

ファイル構成

📄 SKILL.md