vulnerability-scanner
Сканирование кода на уязвимости
Этот навык помогает разработчикам выявлять и приоритизировать уязвимости безопасности в их кодовой базе, используя руководства OWASP 2025 и автоматизированные инструменты сканирования.
Télécharger le ZIP du skill
Importer dans Claude
Allez dans Paramètres → Capacités → Skills → Importer un skill
Activez et commencez à utiliser
Tester
Utilisation de "vulnerability-scanner". Run security scan on my project
Résultat attendu:
Результаты сканирования безопасности:
ОБЩИЙ СТАТУС: Найдено 3 проблемы
- Критические: 0
- Высокие: 2
- Средние: 1
СВОДКА СКАНИРОВАНИЯ:
1. Шаблоны кода: Обнаружено 2 шаблона высокого риска
- Использование eval() в utils.js:42
- Ко��катенация SQL-строк в database.js:15
2. Конфигурация: 1 средняя проблема
- Режим отладки включён в config/development.json
РЕКОМЕНДАЦИИ:
- Замените eval() на более безопасные альтернативы
- Используйте параметризованные запросы вместо конкатенации строк
- Отключите режим отладки в производственных конфигурациях
Utilisation de "vulnerability-scanner". Check for hardcoded secrets
Résultat attendu:
Результаты сканирования секретов:
ПРОСКАНИРОВАНО: 156 файлов
НАЙДЕНО СЕКРЕТОВ: 1
- Обнаружен API-ключ в src/config.js:12
Тип: Универсаль��ый API-ключ
Критичность: Высокая
РЕКОМЕНДАЦИЯ: Переместите секреты в переменные окружения или менеджер секретов. Никогда не коммитьте API-ключи в систему контроля версий.
Audit de sécurité
SûrThis is a defensive security skill that teaches vulnerability scanning principles. All static findings are false positives - the flagged patterns (eval, exec, pickle, secrets, API keys) are documented as patterns to DETECT or are in teaching examples, not actual vulnerabilities. The included security_scan.py script is a defensive scanner that identifies dangerous code patterns in user projects.
Score de qualité
Ce que vous pouvez construire
Проверка безопасности перед развёртыванием
Запуск автоматизированных сканирований безопасности кодовой базы перед развёртыванием в production для раннего обнаружения распространённых уязвимостей.
Рабочий процесс аудита безопасности
Проведение систематических аудитов безопасности с использованием чек-листов OWASP и фреймворков приоритизации.
Обучение безопасному программированию
Изучение распространённых шаблонов уязвимостей и способов их предотвращения в различных языках программирования.
Essayez ces prompts
Use the vulnerability-scanner skill to scan my project at [PROJECT_PATH] for security issues. Run a full scan and report findings.
Use the vulnerability-scanner skill to scan for hardcoded secrets, API keys, and credentials in my codebase. Check for AWS keys, tokens, passwords, and private keys.
Use the vulnerability-scanner skill to audit dependencies for known vulnerabilities. Check for outdated packages and supply chain risks.
Use the vulnerability-scanner skill to perform a comprehensive security assessment including: dependency audit, secret scanning, dangerous code pattern detection, and configuration review. Prioritize findings by severity and provide remediation steps.
Bonnes pratiques
- Запускайте сканирование безопасности на ранних этапах и часто в жизненном цикле разработки, чтобы обнаруживать проблемы перед развёртыванием
- Приоритизируйте результаты, используя оценки CVSS в сочетании с бизнес-контекстом и ценностью активов
- Проверяйте все находки вручную перед принятием мер — автоматизированные сканеры дают ложноположительные результаты
- Поддерживайте базу известных безопасных шаблонов для снижения шума при повторных сканированиях
Éviter
- Игнорирование предупреждений сканера без расследования — даже проблемы низкой критичности могут быть эксплуатированы в сочетании
- Полная опора только на автоматические инструменты без ручного обзора безопасности и моделирования угроз
- Сканирование один раз перед развёртыванием и никогда больше — новые уязвимости появляются постоянно
- Обработка всех находок сканера как одинаково важных без приоритизации