security-review
审查代码安全漏洞
开发者需要确保代码遵循安全最佳实践,但往往会遗漏关键漏洞。此技能提供全面的检查清单和模式,帮助在部署前识别和修复安全问题。
下载技能 ZIP
在 Claude 中上传
前往 设置 → 功能 → 技能 → 上传技能
开启并开始使用
测试它
正在使用“security-review”。 审查此登录端点的安全问题
预期结果:
安全审查结果:
1. 通过:未发现硬编码密钥——正确使用环境变量
2. 失败:缺少邮箱/密码字段的输入验证——添加 Zod schema 验证
3. 通过:使用参数化查询——无 SQL 注入风险
4. 失败:令牌存储在 localStorage 中——移至 httpOnly cookie
5. 通过:端点已配置速率限制
6. 失败:错误消息暴露了'用户不存在'与'密码错误'的区别——使用通用消息
为每个失败项提供推荐的修复方案。
正在使用“security-review”。 如何安全处理文件上传?
预期结果:
安全文件上传模式:
1. 大小验证:限制最大 5MB
2. 类型验证:白名单特定 MIME 类型(image/jpeg、image/png)
3. 扩展名验证:检查文件扩展名是否在允许列表中
4. 存储:保存到 Web 根目录之外,使用随机文件名
5. 清理:如果处理用户上传,需扫描恶意软件
包含所有检查的示例实现。
安全审计
安全Static analyzer detected 90 potential security issues, but all are false positives. The SKILL.md file is an educational security checklist document written in Markdown, not executable code. Pattern-based detection flagged code examples (in fenced code blocks) as if they were actual runtime behavior. The skill teaches secure coding practices including secrets management, input validation, SQL injection prevention, XSS/CSRF protection, and authentication patterns. No actual external commands, network requests, or sensitive file access occur - these are documentation examples only.
质量评分
你能构建什么
部署前安全审查
在部署任何处理用户数据、认证或支付的功能之前运行此技能,以识别潜在漏洞。
安全导向的代码审查
在拉取请求审查期间使用,确保新代码遵循安全最佳实践,不会引入漏洞。
学习安全编码模式
研究提供的示例,了解常见漏洞及其安全实现方式。
试试这些提示
使用 security-review 技能清单审查我的代码是否存在安全漏洞。检查硬编码密钥、输入验证和适当的错误处理。
我正在使用 JWT 令牌实现用户认证。使用 security-review 技能向我展示令牌存储、授权检查和会话管理的正确模式。
审查我的 API 端点是否存在安全问题。检查速率限制、输入验证、SQL 注入防护和适当的授权。这是我的代码:[粘贴代码]
在生产部署前进行全面安全审查。遍历安全清单的所有 10 个部分:密钥管理、输入验证、SQL 注入、认证、XSS、CSRF、速率限制、数据暴露、区块链安全(如适用)和依赖安全。报告发现的任何问题并提供具体修复方案。
最佳实践
- 始终对环境变量使用密钥——切勿在源代码中硬编码 API 密钥、密码或令牌
- 在处理前使用 schema 验证所有用户输入——使用 Zod 等库进行类型安全验证
- 将认证令牌存储在设置了 SameSite=Strict 的 httpOnly cookie 中,切勿存储在 localStorage 中
避免
- 在源代码中硬编码密钥或将.env 文件提交到版本控制系统
- 将 JWT 令牌存储在 localStorage 中,容易受到 XSS 攻击
- 向用户暴露详细的错误消息或堆栈跟踪,而非通用消息