技能 cc-skill-security-review
🔒

cc-skill-security-review

安全 ⚙️ 外部命令🌐 网络访问🔑 环境变量

通过全面的安全审查保护您的代码

通过自动化安全检查清单防止SQL注入、XSS和身份验证缺陷等常见漏洞。在开发过程中获取安全编码实践的专家指导。

支持: Claude Codex Code(CC)
🥉 73 青铜
1

下载技能 ZIP

2

在 Claude 中上传

前往 设置 → 功能 → 技能 → 上传技能

3

开启并开始使用

测试它

正在使用“cc-skill-security-review”。 Run security review on this authentication code

预期结果:

  • Security Review Complete
  •  
  • ✓ PASS: Tokens stored in httpOnly cookies
  • ✓ PASS: Authorization check before user deletion
  • ✓ PASS: Role-based access control implemented
  •  
  • ⚠ WARNING: Consider adding session refresh mechanism
  •  
  • No critical vulnerabilities found. Ready for deployment.

正在使用“cc-skill-security-review”。 Check my database queries for SQL injection

预期结果:

  • SQL Injection Security Review
  •  
  • ❌ CRITICAL: Line 42 - String concatenation in query
  • Found: `SELECT * FROM users WHERE email = '${userEmail}'`
  • Risk: Direct SQL injection vulnerability
  • Fix: Use parameterized query:
  • `await db.query('SELECT * FROM users WHERE email = $1', [userEmail])`
  •  
  • ✓ PASS: All other queries use parameterized statements
  •  
  • Action required: Fix line 42 before deploying.

安全审计

安全
v1 • 2/25/2026

Static analysis detected 91 potential security issues in SKILL.md documentation file. All findings are FALSE POSITIVES - the detected patterns are code examples within educational documentation showing both vulnerable and secure coding patterns. The skill teaches security best practices through comparison examples (marked with ❌ NEVER and ✅ ALWAYS). No executable code, no actual security risks. This is a legitimate educational security review skill.

1
已扫描文件
502
分析行数
3
发现项
1
审计总数

风险因素

⚙️ 外部命令 (1)
SKILL.md:29-465
🌐 网络访问 (1)
SKILL.md:225-494
🔑 环境变量 (1)
SKILL.md:36-41
审计者: claude

质量评分

38
架构
90
可维护性
87
内容
50
社区
100
安全
96
规范符合性

你能构建什么

提交前安全审查

开发人员在提交代码前运行此技能,以验证身份验证、输入验证和SQL注入防护模式的正确实施

部署前安全审计

团队负责人在生产发布前使用部署前检查清单确保所有17项安全要求都已满足

安全学习工具

初级开发人员学习此技能的示例,以了解安全编码模式和常见漏洞类型

试试这些提示

基础安全检查 
对当前代码更改运行安全审查。检查硬编码密钥、输入验证问题、SQL注入漏洞和身份验证问题。
身份验证实现 
审查我的身份验证实现。验证令牌是否使用httpOnly cookies(而非localStorage)、是否设置了授权检查,以及会话管理是否安全。
API端点安全 
对新API端点进行安全审查。检查SQL注入防护、XSS保护、CSRF令牌、速率限制和错误消息安全性。
部署前审计 
运行完整的部署前安全审计。验证所有17项检查清单项目,包括密钥管理、输入验证、参数化查询、XSS/CSRF防护、速率限制、HTTPS强制实施、安全标头和依赖项安全性。

最佳实践

  • 在每次提交涉及身份验证、输入处理、数据库查询或API端点的代码前运行安全审查技能
  • 将部署前检查清单作为生产发布前的最终验证步骤
  • 学习NEVER和ALWAYS示例,以了解漏洞模式及其修复方法

避免

  • 将此技能作为自动化安全测试工具或渗透测试的替代品
  • 仅在生产问题发生后才运行安全审查,而不是在开发过程中
  • 将文档示例视为复制粘贴的解决方案,而不理解背后的安全原则

常见问题

此技能是否会自动扫描我的代码中的漏洞?
不提供自动化扫描。此技能提供安全检查清单、最佳实践和教育性示例。您必须手动将指导应用到您的代码中。它不执行自动化扫描。
此技能能否防止所有安全漏洞?
不防止所有安全漏洞。此技能涵盖OWASP Top 10等常见漏洞,但无法防止所有可能的安全问题。请结合自动化工具、渗透测试和安全审查以获得全面保护。
此技能是否仅适用于TypeScript和JavaScript项目?
示例使用TypeScript/JavaScript,但安全原则适用于所有语言。输入验证、参数化查询和身份验证等概念是通用的。请将模式适应您的语言。
我是否应该使用此技能代替安全审计工具?
不应替代安全审计工具。在开发过程中将此技能与npm audit、SAST工具和依赖扫描器等自动化工具结合使用。此技能帮助您编写安全代码;工具用于验证。
我应该多久运行一次安全审查?
在涉及安全敏感更改(身份验证、输入处理、API)的每次提交前运行。在每次生产发布前运行部署前检查清单。将安全纳入您的开发工作流程。
此技能是否涵盖区块链和Web3安全?
是的,它包含一个关于Solana区块链安全的部分,涵盖钱包验证、交易验证和余额检查。将类似原则应用于其他区块链平台。

开发者详情

作者

affaan-m

许可证

MIT

仓库

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/cc-skill-security-review

引用

main

文件结构

📄 SKILL.md