security-audit
Проведение аудита безопасности с использованием фреймворков
متاح أيضًا من: AppleLamps,sickn33,Consiliency,Joseph OBrien,Joseph OBrien
Проверки безопасности требуют структурированного руководства для последовательного выявления уязвимостей. Этот навык предоставляет комплексные чек-листы и фреймворки, такие как NIST, OWASP и MITRE ATT&CK, для тщательной оценки безопасности.
تنزيل ZIP المهارة
رفع في Claude
اذهب إلى Settings → Capabilities → Skills → Upload skill
فعّل وابدأ الاستخدام
اختبرها
استخدام "security-audit". Проверь этот модуль аутентификации на проблемы безопасности
النتيجة المتوقعة:
- ## Проверка безопасности: Модуль аутентификации
- - Отсутствует принудительная многофакторная аутентификация
- - Токены сессий не обновляются при изменении привилегий
- - Нет ограничения частоты запросов на endpoint входа
- - Рассмотрите возможность внедрения step-up auth для критичных действий
استخدام "security-audit". Проверь этот смарт-контракт на распространенные уязвимости
النتيجة المتوقعة:
- ## Результаты аудита смарт-контракта
- - Отсутствуют защиты от reentrancy на функции withdraw
- - Данные цены оракула не проверяются на устаревание
- - Роль Owner имеет избыточные привилегии
- - Отсутствует circuit breaker для экстренной приостановки
استخدام "security-audit". Оцени безопасность нашего CI/CD pipeline
النتيجة المتوقعة:
- ## Оценка безопасности цепочки поставок
- - Файлы Workflow требуют проверки перед слиянием
- - Секреты хранятся только в защищенных контекстах
- - Версии зависимостей не закреплены до точных релизов
- - Build provenance не генерируется для артефактов
التدقيق الأمني
آمنPure documentation skill containing markdown security checklists and frameworks. All 51 static findings are FALSE POSITIVES - pattern matches on legitimate security guidance content. The skill documents vulnerabilities and defenses (e.g., 'No eval() with user input', 'No deprecated crypto like MD5') rather than implementing attack code. This is a reference tool for security professionals conducting audits.
عوامل الخطر
⚙️ الأوامر الخارجية (4)
📁 الوصول إلى نظام الملفات (3)
⚡ يحتوي على سكربتات (1)
🌐 الوصول إلى الشبكة (1)
درجة الجودة
ماذا يمكنك بناءه
Проверка Pull Request'ов
Использование чек-листов безопасности для выявления уязвимостей перед слиянием изменений кода
Проведение моделирования угроз
Применение методологии STRIDE для анализа границ доверия и потенциальных векторов атак
Аудит DeFi-протоколов
Проверка смарт-контрактов на reentrancy, манипулирование оракулами и векторы экономических атак
جرّب هذه الموجهات
Review this code for security issues using the security-audit skill. Check for injection vulnerabilities, access control weaknesses, and cryptographic misconfigurations.
Conduct a threat model for this architecture using STRIDE. Identify trust boundaries, authentication strategies, and potential attack paths.
Audit this smart contract for security vulnerabilities. Check reentrancy patterns, access control, oracle dependencies, and economic attack vectors.
Assess this repository supply chain security using SLSA and OpenSSF Scorecard guidelines. Check dependency pinning, build integrity, and CI/CD controls.
أفضل الممارسات
- Всегда начинайте с моделирования угроз перед углубленным анализом конкретных уязвимостей
- Используйте фреймворк STRIDE для систематического выявления потенциальных векторов атак
- Документируйте находки с уровнями критичности и ссылками на соответствующие контроли фреймворка
تجنب
- Пропуск проверок контроля доступа, потому что endpoint'ы предназначены только для внутреннего использования
- Использование валидации на стороне клиента в качестве единственной защиты от атак внедрения
- Предположение, что криптографические реализации безопасны без проверки выбора алгоритмов