Навыки SAST Security Plugin
🔒

SAST Security Plugin

Безопасно

Сканиров��ние кода на наличие уязвимостей безопасности

Этот навык предоставляет комплексное руководство по статическому тестированию безопасности приложений (SAST) для выявления уязвимостей в коде перед развертыванием. Он помогает пользователям настроить и запустить несколько SAST-инструментов для различных языков и фреймворков.

Поддерживает: Claude Codex Code(CC)
📊 69 Адекватно
1

Скачать ZIP навыка

2

Загрузить в Claude

Перейдите в Settings → Capabilities → Skills → Upload skill

3

Включите и начните использовать

Протестировать

Использование «SAST Security Plugin». Help me scan my Python Flask app for SQL injection vulnerabilities

Ожидаемый результат:

To scan your Flask app for SQL injection vulnerabilities using Bandit and Semgrep:

1. Install tools: `pip install bandit semgrep`

2. Run Bandit: `bandit -r . -f json -o bandit-report.json`

3. Run Semgrep with SQL injection rules:
```bash
semgrep --config=p/security-audit --json --output=semgrep-sqli.json
```

4. Review the JSON reports for SQL injection findings. Look for:
- String formatting in SQL queries (B608, B611)
- Unsanitized user input in queries
- Missing parameterized queries

5. Fix identified issues by using parameterized queries:
```python
# Vulnerable
cursor.execute("SELECT * FROM users WHERE id = " + user_id)

# Secure
cursor.execute("SELECT * FROM users WHERE id = %s", (user_id,))
```

Использование «SAST Security Plugin». Configure ESLint security for my TypeScript React application

Ожидаемый результат:

To configure ESLint security for TypeScript React:

1. Install dependencies:
```bash
npm install --save-dev eslint @typescript-eslint/parser @eslint/plugin-security eslint-plugin-react
```

2. Create .eslintrc-security.json:
```json
{
"parser": "@typescript-eslint/parser",
"plugins": ["@eslint/plugin-security", "react"],
"extends": ["plugin:security/recommended"],
"rules": {
"security/detect-object-injection": "error",
"security/detect-non-literal-fs-filename": "error",
"security/detect-eval-with-expression": "error",
"no-danger": "error"
}
}
```

3. Run scan:
```bash
eslint --ext .ts,.tsx --format json > eslint-security-report.json
```

Аудит безопасности

Безопасно
v1 • 2/25/2026

This is a prompt-only documentation skill providing SAST (Static Application Security Testing) guidance. The static analyzer scanned 0 executable files (0 lines of code) because the skill consists entirely of markdown documentation (SKILL.md). No suspicious patterns or risk factors were detected. The skill provides legitimate security guidance for configuring and running established SAST tools like Bandit, Semgrep, and ESLint Security.

0
Просканировано файлов
0
Проанализировано строк
0
находки
1
Всего аудитов
Проблем безопасности не найдено
Проверено: claude

Оценка качества

38
Архитектура
100
Сопровождаемость
87
Контент
32
Сообщество
100
Безопасность
74
Соответствие спецификации

Что вы можете построить

Проверка безопасности перед развертыванием

Запускайте комплексное SAST-сканирование перед развертыванием кода в production, чтобы своевременно выявлять уязвимости.

Оценка безопасности устаревшего кода

Аудит унаследованных или старых кодовых баз на наличие проблем безопасности и технического долга.

Контрольные точки безопасности в CI/CD

Интеграция автоматического сканирования безопасности в рабочие процессы pull request для блокировки уязвимого кода.

Попробуйте эти промпты

Базовое сканирование безопасности Python 
Help me set up and run Bandit to scan my Python project for security vulnerabilities. I have a Django application in the current directory.
Аудит безопасности многоязычного проекта 
I need to run a comprehensive security scan across a project with Python, JavaScript, and Go code. Show me how to configure Semgrep to scan all these languages and aggregate the results.
Пользовательские правила безопасности 
Our organization has specific security policies. Create a Semgrep custom rule to detect our internal API keys being hardcoded in any source file.
Настройка интеграции с CI/CD 
Set up a GitHub Actions workflow that runs SAST scans on every pull request. Include Bandit for Python, ESLint Security for JavaScript, and fail the build if HIGH or CRITICAL vulnerabilities are found.

Лучшие практики

  • Запускайте SAST-сканирование на ранних этапах разработки, используя pre-commit хуки, чтобы выявлять проблемы до того, как они попадут в код-ревью
  • Комбинируйте несколько SAST-инструментов, так как каждый выявляет разные типы уязвимостей — Bandit для Python, Semgrep для многоязычных проектов, ESLint для JS/TS
  • Настройте фильтрацию ложных срабатываний, настроив исключения для тестовых файлов, сгенерированного кода и известных безопасных шаблонов

Избегать

  • Запуск сканирования без анализа и классификации результатов — высокие показатели ложных срабатываний могут привести к усталости от оповещений
  • Блокировка развертываний при любых находках вместо приоритизации по степени серьезности (только CRITICAL/HIGH)
  • Загрузка проприетарного кода во внешние службы сканирования без проверки политик обработки данных

Часто задаваемые вопросы

Что такое SAST и чем он отличается от DAST?
SAST (Static Application Security Testing) анализирует исходный код без его выполнения, находя уязвимости такие как хардкоденные секреты и дефекты инъекций. DAST (Dynamic Application Security Testing) тестирует работающие приложения для поиска проблем во время выполнения. SAST выявляет проблемы на ранних этапах разработки; DAST находит проблемы в развернутых системах.
Какие SAST-инструменты поддерживает этот навык?
Этот навык охватывает несколько инструментов: Bandit (Python), Semgrep (многоязычный), ESLint Security (JavaScript/TypeScript), SpotBugs (Java), Brakeman (Ruby), gosec (Go) и cargo-clippy (Rust). Каждый инструмент имеет специфические преимущества для разных языков.
Может ли этот навык обнаружить все уязвимости безопасности?
Нет. SAST-инструменты имеют ограничения — они не могут обнаруживать уязвимости во время выполнения, проблемы аутентификации или дефекты бизнес-логики. Они наиболее эффективны для известных шаблонов, таких как атаки инъекциями и хардкоденные секреты. Дополняйте SAST с помощью DAST и ручного код-ревью для комплексного покрытия.
Как обрабатывать ложные срабатывания SAST-инструментов?
Настройте правила исключения для тестовых файлов, сгенерированного кода и ложных срабатываний. Используйте фильтрацию по степени серьезности для фокусировки на проблемах CRITICAL и HIGH. Документируйте базовые исключения в вашей конфигурации. Регулярно обновляйте правила инструментов для снижения шума.
Безопасно ли запускать внешние SAST-инструменты для проприетарного кода?
Большинство SAST-инструментов работают локально. Однако некоторые облачные сервисы загружают код для анализа. Проверьте политики конфиденциальности инструментов. Для чувствительного кода используйте локальные инструменты, такие как Semgrep или Bandit, которые работают полностью локально без передачи данных.
Как интегрировать SAST в CI/CD-конвейер?
Добавьте этапы сканирования после извлечения кода и установки зависимостей. Запускайте инструменты такие как Bandit и Semgrep, выводите результаты в JSON. Используйте правила конвейера для прерывания сборки при обнаружении проблем CRITICAL/HIGH. Загружайте отчёты как артефакты для анализа. Примеры для GitHub Actions и GitLab CI включены в этот навык.

Сведения для разработчиков

Автор

sickn33

Лицензия

MIT

Репозиторий

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/security-scanning-security-sast

Ссылка

main

Структура файлов

📄 SKILL.md