
Набор инструментов безопасности приложений
Сканирование кода, зависимостей и работающих целей с унифицированным рабочим процессом AppSec
Установить
Выполните эту команду, чтобы установить все навыки в этом плагине:
npx skillstore add @application-security-toolkit CLI автоматически обнаруживает папки Codex и Claude Code и устанавливает в обе, когда они доступны.
Обзор
Руководство по использованию
Улучшено с помощью ИИПодробное руководство
## Обзор Унифицированный рабочий процесс AppSec, охватывающий код, зависимости и работающие цели — три взаимодополняющих подхода к сканированию в одном плагине. - **sast-semgrep** — Статический анализ: сканирует исходный код на уязвимости с сопоставлением OWASP Top 10 и CWE - **dast-nuclei** — Динамическое сканирование: проверяет работающие веб-приложения, API и инфраструктуру на наличие известных CVE и неправильных конфигураций - **sca-trivy** — Анализ состава: проверяет зависимости, образы контейнеров и IaC на наличие CVE, рисков лицензий и генерации SBOM ## Быстрый старт 1. Установите плагин: `npx skillstore add @application-security-toolkit` 2. Запустите sast-semgrep для поиска уязвимостей в коде 3. Используйте sca-trivy для сканирования образов контейнеров и зависимостей на наличие известных CVE 4. Направьте dast-nuclei на **тестовую** цель для обнаружения уязвимостей времени выполнения ## Границы авторизации **Важно: DAST-сканирование отправляет реальные запросы к целям.** Следуйте этим правилам: - **Никогда не запускайте dast-nuclei против производственной среды** без явного письменного разрешения от владельца цели - DAST-сканирование должно быть направлено на тестовые/среды разработки по умолчанию - Используйте элементы управления ограничением скорости Nuclei (`-rate-limit`, `-bulk-size`), чтобы не перегружать цели - sast-semgrep и sca-trivy доступны только для чтения и безопасны для запуска в любой кодовой базе без специальной авторизации - При сканировании сторонних зависимостей с помощью sca-trivy анализируются только локальные/кэшированные артефакты — внешние запросы не выполняются ## Обработка сбоев и откат **Принцип: Сначала отчет, никогда не исправлять автоматически. Обязательна проверка человеком.** - Все три инструмента создают **только отчеты** — они не модифицируют исходный код и не исправляют уязвимости автоматически - Результаты должны быть отсортированы по серьезности (Critical > High > Medium > Low) перед принятием мер - **Ложные срабатывания ожидаемы**, особенно при сопоставлении шаблонов SAST. Всегда проверяйте результаты перед созданием PR с исправлениями - Для интеграции с CI/CD: установите пороги серьезности (`--severity critical,high`), чтобы прерывать сборки только при подтвержденных проблемах с высоким влиянием - Выходные данные SARIF от sca-trivy можно импортировать на вкладку GitHub Security для видимости результатов всей командой - Сохраняйте результаты сканирования как артефакты — не удаляйте отчеты, даже если все проблемы устранены ## Основные команды - `/sast-semgrep` — Запуск статического анализа Semgrep с маппингом фреймворка OWASP/CWE - `/dast-nuclei` — Запуск сканирования на основе шаблонов Nuclei для целевого URL-адреса - `/sca-trivy` — Сканирование зависимостей, контейнеров или IaC на наличие CVE и проблем с лицензиями ## Советы - Запускайте sast-semgrep и sca-trivy в CI при каждом PR; оставьте dast-nuclei для запланированных проверок безопасности на тестовых средах - Объедините вывод SBOM от sca-trivy с результатами sast-semgrep для полной картины рисков цепочки поставок - Создавайте пользовательские правила Semgrep и шаблоны Nuclei для специфичных для организации паттернов безопасности
Навыки
3sast-semgrep
Средний риск 76Сканирование кода с помощью Semgrep SAST
Командам безопасности нужен воспроизводимый анализ кода без создания правил с нуля. Этот навык помогает проводить сканирования Semgrep, сопоставлять результаты с OWASP и CWE, устранять проблемы и интегрировать проверки в CI.
dast-nuclei
Средний риск 50Сканирование веб-приложений с помощью Nuclei
Командам безопасности нужны быстрые проверки известных уязвимостей без создания каждого теста с нуля. Этот навык помогает Claude, Codex и Claude Code сопровождать авторизованные сканирования Nuclei, рабочие процессы CI и проверку результатов.
sca-trivy
Средний риск 75Сканирование зависимостей и контейнеров с помощью Trivy
Командам нужен воспроизводимый способ находить уязвимые пакеты, небезопасные образы и неправильные конфигурации IaC до выпуска. Этот навык помогает Claude, Codex и Claude Code выполнять сканирования Trivy, формировать SBOM, настраивать CI-шлюзы и планировать исправления.
Похожие плагины

OpenClaw Security Monitor
Автоматизированное сканирование безопасности, анализ уязвимостей и проверка безопасности кода для авторизованных активов
3 навыки

Воротами фронтенд-релиза
Предрелизный рабочий процесс для изменений, затрагивающих UI, который выявляет нарушенные сценарии, регрессии линтинга/типизации и очевидные проблемы безопасности перед выпуском.
3 навыки

Комплекс для оценки безопасности
Комплексный инструментарий для тестирования безопасности веб-приложений. Включает сканирование уязвимостей, тестирование контроля доступа и оценку безопасности SSH.
3 навыки