
精选
应用程序安全工具包
使用统一的 AppSec 工作流扫描代码、依赖项和运行目标
3 技能 2 安装次数
securityappsecsastdastscadevsecops
56 天前更新
安装
运行此命令,安装该技能包中的全部技能:
npx skillstore add @application-security-toolkit CLI 会自动检测 Codex 和 Claude Code 文件夹;如果两者都可用,就会同时安装。
概览
使用指南
由 AI 增强详细指南
## 概述 一个统一的 AppSec 工作流,涵盖代码、依赖项和运行目标 — 在一个插件中整合三种互补的扫描方法。 - **sast-semgrep** — 静态分析:扫描源代码中的漏洞,支持 OWASP Top 10 和 CWE 映射 - **dast-nuclei** — 动态扫描:探测运行中的 Web 应用、API 和基础设施,发现已知 CVE 和配置错误 - **sca-trivy** — 组成分析:检查依赖项、容器镜像和 IaC 中的 CVE、许可证风险并生成 SBOM ## 快速开始 1. 安装插件:`npx skillstore add @application-security-toolkit` 2. 对代码库运行 sast-semgrep 以查找代码级别的漏洞 3. 使用 sca-trivy 扫描容器镜像和依赖项中的已知 CVE 4. 将 dast-nuclei 指向**预发布**目标以检测运行时漏洞 ## 授权边界 **重要提示:DAST 扫描会向目标发送实时请求。** 请遵循以下规则: - 在未获得目标所有者明确书面授权的情况下,**切勿对生产环境运行 dast-nuclei** - DAST 扫描默认应以预发布/开发环境为目标 - 使用 Nuclei 的速率限制控制(`-rate-limit`、`-bulk-size`)以避免目标过载 - sast-semgrep 和 sca-trivy 是只读的,可以安全地在任何代码库上运行而无需特殊授权 - 使用 sca-trivy 扫描第三方依赖项时,仅分析本地/缓存的工件 — 不会进行外部探测 ## 故障处理与回滚 **原则:先报告,绝不自动修复。必须人工审核。** - 所有三个工具仅生成**报告** — 它们不会自动修改源代码或修补漏洞 - 在采取行动之前,应按严重性(严重 > 高 > 中 > 低)对发现进行分类 - **预期会有误报**,尤其是使用 SAST 模式匹配时。在创建修复 PR 之前务必验证发现 - 对于 CI/CD 集成:设置严重性阈值(`--severity critical,high`)以仅在确认的高影响问题上使构建失败 - sca-trivy SARIF 输出可导入到 GitHub Security 选项卡以供全团队可见 - 将扫描结果保留为工件 — 即使所有发现已解决也不要丢弃报告 ## 主要命令 - `/sast-semgrep` — 运行 Semgrep 静态分析,支持 OWASP/CWE 框架映射 - `/dast-nuclei` — 对目标 URL 启动基于 Nuclei 模板的扫描 - `/sca-trivy` — 扫描依赖项、容器或 IaC 中的 CVE 和许可证问题 ## 提示 - 在每个 PR 的 CI 中运行 sast-semgrep 和 sca-trivy;将 dast-nuclei 用于预发布环境的定期安全审查 - 将 sca-trivy SBOM 输出与 sast-semgrep 发现结合,以获得完整的供应链风险视图 - 为组织特定的安全模式创建自定义 Semgrep 规则和 Nuclei 模板
技能
3📦
sast-semgrep
中风险 76使用 Semgrep SAST 扫描代码
安全团队需要可重复的代码审查,而无需从零开始构建规则。此技能可指导 Semgrep 扫描、OWASP 和 CWE 映射、修复以及 CI 集成。
🔒 安全与合规 由 AgentSecOps ⚙️🌐🔑📁⚡
📦
dast-nuclei
中风险 50使用 Nuclei 扫描 Web 应用
安全团队需要快速检查已知漏洞,而无需从头构建每个测试。此技能可帮助 Claude、Codex 和 Claude Code 指导授权的 Nuclei 扫描、CI 工作流和结果验证。
🔒 安全与合规 由 AgentSecOps ⚙️🌐📁🔑⚡
📦
sca-trivy
中风险 75使用 Trivy 扫描依赖项和容器
团队需要一种可重复的方法,在发布前发现存在漏洞的软件包、不安全的镜像以及 IaC 配置错误。此技能会指导 Claude、Codex 和 Claude Code 完成 Trivy 扫描、SBOM 输出、CI 门禁和修复规划。
🔒 安全与合规 由 AgentSecOps ⚙️🌐📁


