Навыки firebase-development-validate
📦

firebase-development-validate

v1.0.0 Низкий риск ⚙️ Внешние команды🔑 Переменные окружения

Проверка готовности проекта Firebase

Проекты Firebase могут выходить в релиз со слабыми правилами, смешанными шаблонами функций или недостаточным покрытием эмуляторами. Этот навык дает Claude, Codex и Claude Code структурированный чеклист проверки для безопасных релизов.

Поддерживает: Claude Codex Code(CC)
🥉 77 Бронза
1

Скачать ZIP навыка

2

Загрузить в Claude

Перейдите в Settings → Capabilities → Skills → Upload skill

3

Включите и начните использовать

Ресурсы для AI-агентов

Используйте эти ссылки, когда AI-агенту, crawler или script нужен чистый контекст вместо полной страницы.

Протестировать

Использование «firebase-development-validate». Проверь мое Firebase-приложение перед запуском.

Ожидаемый результат:

Критично: в правилах Firestore отсутствует правило default deny. Важно: emulator tests не покрывают workflow записи. Незначительно: в firebase.json нет настройки UI emulator.

Использование «firebase-development-validate». Проверь, согласована ли архитектура моих functions.

Ожидаемый результат:

Проект в основном следует шаблону Express function. Перенесите два standalone handlers в общий router или задокументируйте их как отдельные deployment units.

Использование «firebase-development-validate». Проведи аудит моей аутентификации и обработки API key.

Ожидаемый результат:

API key middleware проверяет prefix и active flag. Добавьте проверки владения пользователем перед privileged reads и убедитесь, что локальная разработка использует auth emulator.

Аудит безопасности

Низкий риск
v4 • 6/27/2026

Static analysis flagged many Markdown backtick spans and command examples as external command execution. Review found no executable scripts, prompt injection, network exfiltration, or malicious intent; the examples are project validation checks for Firebase code. The skill is safe to publish with low risk because it may lead an agent to run local grep, npm, and build commands in a user project.

1
Просканировано файлов
199
Проанализировано строк
6
Review items
0
False positives ignored

Confirmed security concerns (2)

Низкий
Weak Cryptography Detections Are Textual False Positives
The static weak-cryptography findings at lines 3, 103, and 128 are not cryptographic code. They occur in descriptive text, a TypeScript ABOUTME comment example, and an HTTP status code checklist item.
The referenced lines do not contain hash functions, encryption calls, or security-sensitive algorithm choices. The scanner appears to have matched incidental text patterns.
Низкий
System Reconnaissance Finding Is Firebase Configuration Review
The static system reconnaissance finding at line 152 is a false positive. The line asks reviewers to confirm Firebase rewrites reference valid functions, which is normal deployment configuration validation.
The context is a Firebase hosting checklist, not host enumeration or system discovery. No command gathers machine, network, or account inventory.
Capability review items (2)

These are real local capabilities that may be expected for this skill, so they require review but are not counted as confirmed malicious behavior.

Низкий
Markdown Command Examples Require User Project Context
The static external command findings are false positives for executable code. Lines 107-120 and 141-143 show example grep, npm test, npm audit, build, and test commands for validating a Firebase project. These are legitimate review steps, but agents should run them only in the user's intended repository.
The detected lines are inside Markdown code blocks or checklist text, not executable skill code. The commands are standard local validation commands with no network destination or credential handling beyond normal package audit behavior.
Низкий
Environment File Reference Is a Security Checklist Item
The static sensitive-file finding at line 136 is a false positive for secret access. The text says to confirm .env files are in .gitignore, which is defensive guidance rather than an instruction to read or exfiltrate environment files.
Line 136 only references .env files as part of a security review checklist. No code reads file contents, prints secrets, or transmits environment data.

Факторы риска

⚙️ Внешние команды (4)
🔑 Переменные окружения (1)

Оценка качества

55
Архитектура
100
Сопровождаемость
87
Контент
70
Сообщество
84
Безопасность
83
Соответствие спецификации

Что вы можете построить

Аудит Firebase перед релизом

Проверьте правила, функции, тесты и проверки сборки перед production-релизом.

Проверка правил Firestore

Найдите чрезмерно широкие права чтения, небезопасные записи, отсутствующие правила default deny и несогласованное использование вспомогательных функций.

Проверка согласованности архитектуры

Убедитесь, что Firebase Functions следуют одной понятной структуре и используют согласованную обработку ответов и ошибок.

Попробуйте эти промпты

Базовая проверка Firebase
Проверь этот проект Firebase на конфигурацию, правила, аутентификацию, тестирование и готовность к production. Суммируй критические, важные и незначительные проблемы.
Фокус на безопасности Firestore
Проведи аудит правил Firestore и связанных клиентских записей. Проверь проверки владения, валидацию affected keys, правила collection group и покрытие default deny.
Готовность Functions к релизу
Проверь архитектуру Firebase Functions. Проверь exports, middleware, authentication, error handling, формат response, tests, build scripts и риски deployment.
Полный production gate
Выполни проверку готовности к production для этого проекта Firebase. Сопоставь firebase.json, правила Firestore, архитектуру functions, emulator tests, результаты npm audit и настройки .firebaserc. Верни приоритизированные шаги по исправлению.

Лучшие практики

  • Запускайте проверку для той же ветки, которая запланирована к deployment.
  • Предоставляйте firebase.json, правила Firestore, исходный код functions, tests и .firebaserc вместе.
  • Подтверждайте каждую находку локальными тестами или запусками emulator перед релизом.

Избегать

  • Не используйте этот навык для первичного scaffolding проекта Firebase.
  • Не считайте выполнение чеклиста доказательством того, что production-данные защищены.
  • Не игнорируйте настройки Firebase Console, которые не видны в репозитории.

Часто задаваемые вопросы

Изменяет ли этот навык мой проект Firebase?
Нет. Он проверяет файлы и рекомендует исправления. Любые изменения кода или конфигурации требуют отдельного одобрения пользователя.
Может ли он найти небезопасные правила Firestore?
Да. Он проверяет распространенные проблемы правил, включая широкий доступ, отсутствующие правила default deny и слабую валидацию записей.
Поддерживает ли он проверки Cloud Functions?
Да. Он проверяет стиль архитектуры, exports, middleware, authentication, error handling и покрытие тестами.
Может ли он проверить настройки Firebase Console?
Только когда пользователь предоставляет эти настройки. Одни лишь файлы репозитория не раскрывают всю конфигурацию console.
Какие инструменты могут использовать этот навык?
Он предназначен для workflow Claude, Codex и Claude Code, которые могут инспектировать репозиторий Firebase.
Это инструмент для penetration testing?
Нет. Это вспомогательный инструмент для структурированной проверки кода и конфигурации проектов Firebase.

Сведения для разработчиков

Автор

2389-research

Лицензия

MIT

Version

v1.0.0

Ссылка

main

Структура файлов

📄 SKILL.md