Compétences senior-security
🛡️

senior-security

Risque faible ⚡ Contient des scripts📁 Accès au système de fichiers

Анализ уязвимостей безопасности и архитектуры

Également disponible depuis: alirezarezvani

Командам безопасности необходимы систематические подходы для выявления уязвимостей, проектирования безопасных архитектур и проверки защитных механизмов. Этот навык предоставляет автоматизированные инструменты для моделирования угроз, рабочих процессов тестирования на проникновение и проверки архитектуры безопасности с рекомендациями по лучшим практикам.

Prend en charge: Claude Codex Code(CC)
🥉 73 Bronze
1

Télécharger le ZIP du skill

2

Importer dans Claude

Allez dans Paramètres → Capacités → Skills → Importer un skill

3

Activez et commencez à utiliser

Tester

Utilisation de "senior-security". Выполнить анализ безопасности моего модуля аутентификации в ./src/auth/

Résultat attendu:

  • Target validated: ./src/auth/
  • Analysis complete: 0 findings
  • REPORT
  • Target: ./src/auth/
  • Status: success
  • Findings: 0

Utilisation de "senior-security". Сгенерировать рабочий процесс тестирования на проникновение для моего веб-приложения

Résultat attendu:

  • Phase 1: Reconnaissance
  • - Passive intelligence gathering
  • - OSINT collection
  • Phase 2: Enumeration
  • - Port scanning approach
  • - Service identification
  • Phase 3: Vulnerability Assessment
  • - Automated scanning strategy
  • - Manual testing techniques

Utilisation de "senior-security". Какие паттерны архитектуры безопасности следует использовать для системы микросервисов?

Résultat attendu:

  • Zero Trust Architecture: Verify every request regardless of origin
  • Defense in Depth: Layer security controls at each level
  • API Gateway Pattern: Centralized authentication and rate limiting
  • Circuit Breaker Pattern: Prevent cascade failures
  • Secrets Management: Use vault solutions for credentials

Audit de sécurité

Risque faible
v6 • 1/17/2026

This skill is a documentation and scaffolding framework for security engineering workflows. The three Python scripts (threat_modeler.py, security_auditor.py, pentest_automator.py) are scaffold templates that validate user-specified paths and generate reports. All static findings are false positives: the 'Ruby/shell backtick' detections are markdown code blocks in documentation files, not actual command execution; 'weak cryptographic algorithm' flags are metadata and documentation references, not cryptographic code; 'C2 keywords' is a false flag on metadata fields. No network calls, credential exfiltration, or dangerous execution patterns exist in the codebase.

8
Fichiers analysés
1,147
Lignes analysées
5
résultats
6
Total des audits
Problèmes à risque moyen (3)
scripts/threat_modeler.py:106-109
User-controlled file output for report generation
User-controlled file output for reports
scripts/security_auditor.py:106-109
User-controlled file output for audit reports
User-controlled file output for reports
scripts/pentest_automator.py:106-109
User-controlled file output for pentest reports
User-controlled file output for reports

Facteurs de risque

⚡ Contient des scripts (3)
scripts/threat_modeler.py:1-115 scripts/security_auditor.py:1-115 scripts/pentest_automator.py:1-115
📁 Accès au système de fichiers (3)
scripts/threat_modeler.py:106-109 scripts/security_auditor.py:106-109 scripts/pentest_automator.py:106-109
Audité par: claude Voir l’historique des audits →

Score de qualité

68
Architecture
100
Maintenabilité
87
Contenu
21
Communauté
75
Sécurité
91
Conformité aux spécifications

Ce que vous pouvez construire

Автоматизация проверок безопасности

Упрощение оценки безопасности кода с помощью согласованных фреймворков анализа и автоматизированной отчетности.

Интеграция конвейеров безопасности

Добавление контрольных точек безопасности в рабочие процессы CI/CD с использованием предоставленных шаблонов скриптов.

Изучение паттернов безопасности

Изучение документированных паттернов архитектуры для встраивания безопасности в приложения на этапе проектирования.

Essayez ces prompts

Анализ моделирования угроз 
Use the senior-security skill to run threat_modeler.py on my project at [PATH]. Identify potential attack vectors and document mitigation strategies.
Проверка архитектуры безопасности 
Apply security_auditor.py to review the architecture at [PATH]. Check for common security anti-patterns and recommend improvements.
Планирование тестирования на проникновение 
Generate a penetration testing workflow using pentest_automator.py for the application at [PATH]. Include reconnaissance, enumeration, and exploitation phases.
Руководство по реализации криптографии 
Review the cryptography_implementation.md reference from senior-security. Suggest appropriate encryption approaches for [USE CASE] with code examples.

Bonnes pratiques

  • Выполнять анализ безопасности при каждом изменении кода перед развертыванием
  • Документировать все решения по безопасности и архитектурные выборы
  • Поддерживать библиотеки шифрования и зависимости в актуальном состоянии до последних версий

Éviter

  • Хранение учетных данных или секретов непосредственно в исходном коде
  • Пропуск валидации входных данных на пользовательских конечных точках
  • Использование устаревших криптографических алгоритмов, таких как MD5 или SHA1

Foire aux questions

Какие инструменты ИИ поддерживают этот навык?
Этот навык работает с Claude, Codex и Claude Code. Установка через npx claude-code-templates@latest --agent senior-security.
Выполняет ли этот навык реальное тестирование на проникновение?
Нет. Скрипт pentest_automator.py генерирует рабочие процессы и руководства для тестирования. Фактическое тестирование требует ручного выполнения или внешних инструментов.
Могу ли я настроить правила анализа?
Да. Скрипты Python являются каркасными шаблонами. Измените метод analyze() в каждом скрипте для реализации пользовательских проверок безопасности.
Отправляются ли данные моего кода куда-либо?
Нет. Весь анализ выполняется локально на вашей машине. Скрипты записывают только выходные файлы, которые вы явно указываете с помощью --output.
Какие языки может анализировать этот навык?
Фреймворк поддерживает любой язык с файловым анализом. Справочная документация охватывает TypeScript, JavaScript, Python, Go, Swift и Kotlin.
Как это сравнивается с коммерческими инструментами SAST?
Этот навык предоставляет легкую структуру для рабочих процессов безопасности. Коммерческие инструменты, такие как Snyk или Veracode, предлагают более глубокий анализ, но требуют платных подписок.

Détails du développeur

Auteur

davila7

Licence

MIT

Dépôt

https://github.com/davila7/claude-code-templates/tree/main/cli-tool/components/skills/development/senior-security

Réf

main

Structure de fichiers

📁 references/

📄 cryptography_implementation.md

📄 penetration_testing_guide.md

📄 security_architecture_patterns.md

📁 scripts/

📄 pentest_automator.py

📄 security_auditor.py

📄 threat_modeler.py

📄 SKILL.md