security-audit
Аудит кода на наличие уязвимостей и рисков
متاح أيضًا من: sickn33,ClementWalter,Consiliency,Joseph OBrien,Joseph OBrien
Ручные проверки безопасности требуют много времени и могут пропустить распространённые уязвимости. Этот навык систематически проверяет код на наличие внедрения команд, проблем с разрешениями и обнаруженных секретов с помощью анализа только для чтения.
تنزيل ZIP المهارة
رفع في Claude
اذهب إلى Settings → Capabilities → Skills → Upload skill
فعّل وابدأ الاستخدام
اختبرها
استخدام "security-audit". Проведите аудит безопасности этой кодовой базы
النتيجة المتوقعة:
- Критически: Обнаружен риск внедрения shell-команд. Пользовательский ввод объединяется в системный вызов.
- Критически: Конечная точка WebSocket не имеет middleware аутентификации.
- Предупреждение: Файл окружения не указан в gitignore.
- Предупреждение: Секреты загружаются без использования библиотеки dotenv.
- Рекомендация: Используйте параметризованные команды вместо объединения строк.
- Рекомендация: Добавьте аутентификацию ко всем конечным точкам WebSocket.
استخدام "security-audit". Проверьте на наличие жёстко закодированных секретов
النتيجة المتوقعة:
- Обнаружено 2 потенциальных жёстко закодированных секрета:
- - config.py строка 15: переменная API_KEY содержит буквальное строковое значение
- - settings.json строка 8: Содержит пароль базы данных в виде открытого текста
- Рекомендация: Переместите эти значения в переменные окружения.
- Рекомендация: Добавьте эти файлы в gitignore, если они содержат секреты.
التدقيق الأمني
آمنThis is a prompt-based skill with read-only tools (Read, Grep, Glob). All static findings are false positives triggered by instructional content describing what security issues to look for. No executable code exists. The skill explicitly declares read-only operation and includes guardrails against exploiting vulnerabilities.
عوامل الخطر
📁 الوصول إلى نظام الملفات (1)
درجة الجودة
ماذا يمكنك بناءه
Проверка безопасности перед развёртыванием
Проведите комплексный аудит безопасности перед развёртыванием кода в рабочие среды, чтобы выявить критические проблемы на раннем этапе
Оценка стороннего кода
Выявляйте риски внедрения команд, проблемы с разрешениями и обнаруженные секреты во внешнем коде или коде поставщиков
Контрольная точка безопасности при код-ревью
Добавьте автоматические проверки безопасности в ваш рабочий процесс код-ревью перед слиянием pull-запросов
جرّب هذه الموجهات
Проведите аудит безопасности этой кодовой базы и сообщите о любых критических уязвимостях
Проверьте все паттерны выполнения команд в backend-коде на наличие уязвимостей к внедрению shell-команд
Проведите аудит этого проекта на наличие жёстко закодированных API-ключей, паролей или секретов, которые не должны попадать в систему контроля версий
Проведите полный аудит безопасности, включающий выполнение команд, разрешения инструментов, управление секретами, безопасность WebSocket и уязвимости frontend. Сгенерируйте подробный отчёт с уровнями серьёзности.
أفضل الممارسات
- Проводите аудит безопасности перед слиянием кода, involving выполнение команд или секреты
- Немедленно устраняйте критические результаты и предупреждения перед развёртыванием в рабочую среду
- Исп��льзуйте этот навык как часть вашего регулярного рабочего процесса код-ревью
تجنب
- Игнорирование предупреждений аудита для внутреннего или доверенного кода
- Проведение аудитов только перед крупными выпусками вместо непрерывного процесса
- Внедрение исправлений без понимания основной уязвимости