🛡️

vibe-security

Name: vibe-security
Author: 0x8506

مخاطر منخفضة ⚡ يحتوي على سكربتات📁 الوصول إلى نظام الملفات⚙️ الأوامر الخارجية

Сканировать код на уязвимости безопасности

متاح أيضًا من: 0x8506

Уязвимости безопасности кода могут привести к утечкам данных и компрометации системы. Этот навык выявляет SQL-инъекции, XSS, инъекции команд и другие уязвимости с помощью AST-анализа и сопоставления шаблонов. Он предоставляет действенные исправления с оценками достоверности.

يدعم: Claude Codex Code(CC)

⚠️ 66 ضعيف

تنزيل ZIP المهارة

رفع في Claude

اذهب إلى Settings → Capabilities → Skills → Upload skill

فعّل وابدأ الاستخدام

اختبرها

استخدام "vibe-security". Scan src/database.js for SQL injection vulnerabilities

النتيجة المتوقعة:

CRITICAL: SQL injection at src/database.js:45
Code: db.query(`SELECT * FROM users WHERE id = ${userId}`)
Fix: Use parameterized queries
Confidence: 95%

التدقيق الأمني

مخاطر منخفضة

v2 • 1/10/2026

Legitimate security scanning tool with no malicious patterns. Contains Python scripts and filesystem access required for code analysis. Uses subprocess only for standard package manager audit tools (npm, pip-audit, cargo). All data processing is local with no exfiltration.

الملفات التي تم فحصها

2,641

الأسطر التي تم تحليلها

النتائج

إجمالي عمليات التدقيق

مشكلات منخفضة المخاطر (1)

scripts/cve_integration.py:33-39

External subprocess execution for package scanning

The CVE integration module uses subprocess to invoke package manager audit tools: npm audit (lines 33-39), pip-audit (lines 72-77), and cargo audit (lines 148-154). These are legitimate security scanning operations but represent external command execution that requires trust.

عوامل الخطر

⚡ يحتوي على سكربتات (8)

scripts/core.py:1-133 scripts/ast_analyzer.py:1-262 scripts/dataflow_analyzer.py:1-288 scripts/fix_engine.py:1-360 scripts/cve_integration.py:1-284 scripts/autofix_engine.py:1-383 scripts/search.py:1-113 scripts/reporter.py:1-333

📁 الوصول إلى نظام الملفات (5)

scripts/ast_analyzer.py:216 scripts/dataflow_analyzer.py:246 scripts/autofix_engine.py:81-122 scripts/cve_integration.py:25-27 scripts/reporter.py:88-264

⚙️ الأوامر الخارجية (3)

scripts/cve_integration.py:33-39 scripts/cve_integration.py:72-77 scripts/cve_integration.py:148-154

تم تدقيقه بواسطة: claude عرض سجل التدقيق →

درجة الجودة

الهندسة المعمارية

100

قابلية الصيانة

المحتوى

المجتمع

الأمان

الامتثال للمواصفات

ماذا يمكنك بناءه

Сканирование безопасности перед коммитом

Сканируйте изменения кода перед коммитом, чтобы выявить уязвимости на раннем этапе разработки

Автоматизированный аудит зависимостей

Проверьте зависимости проекта на наличие известных CVE в экосистемах npm, PyPI и Cargo

Рецензирование кода с фокусом на безопасность

Анализируйте pull-запросы на наличие шаблонов SQL-инъекций, XSS и инъекций команд

جرّب هذه الموجهات

Быстрое сканирование безопасности

Scan this file for security vulnerabilities using AST analysis: <file_path>

Исправить SQL-инъекцию

Generate a fix for this SQL injection vulnerability. Language: javascript. Code: db.query(`SELECT * FROM users WHERE id = ${userId}`)

Проверить зависимости

Run dependency vulnerability scan on this project looking for CVEs in npm packages

Полный аудит безопасности

Perform a comprehensive security audit including AST analysis, data flow tracking, and dependency scanning. Report findings with severity levels and remediation steps.

أفضل الممارسات

Запускайте сканирование безопасности перед каждым коммитом или pull-запросом
Немедленно устраняйте уязвимости критического и высокого уровня серьёзности
Просматривайте предложения по исправлению перед применением к рабочему коду
Используйте параметризованные запросы вместо конкатенации строк для всех операций с базой данных

تجنب

Использование конкатенации строк для построения SQL-запросов
Передача пользовательского ввода напрямую в функции eval() или exec()
Присваивание неочищенного пользовательского ввода свойствам innerHTML
Использование слабых криптографических алгоритмов, таких как MD5 или SHA1

الأسئلة المتكررة

Какие языки программирования поддерживаются?

Для сканирования уязвимостей поддерживаются JavaScript, TypeScript, Python, PHP, Java, Go и Ruby.

Какой максимальный размер файла для сканирования?

Файлы обрабатываются в памяти. Очень большие файлы могут обрабатываться дольше, но жёсткого ограничения по размеру нет.

Интегрируется ли этот навык с CI/CD-пайплайнами?

Да. Отчёты могут быть созданы в форматах JSON и SARIF для GitHub Code Scanning и других CI-систем.

Мой код отправляется на внешние серверы?

Нет. Весь анализ выполняется локально на вашем компьютере. Зависимости проверяются локально через публичные базы данных.

Что делать, если сканирование превышает тайм-аут?

Попробуйте сканировать меньшие файлы или каталоги. Увеличьте значения тайм-аута подпроцессов в скрипте при необходимости.

Чем это отличается от Snyk или npm audit?

Этот инструмент обеспечивает обнаружение уязвимостей на уровне кода. Используйте его вместе со сканерами зависимостей, такими как Snyk, для полного покрытия.