vulnerability-scanner
扫描代码查找漏洞
此技能帮助开发者使用 OWASP 2025 指南和自动化扫描工具识别和优先处理代码库中的安全漏洞。
下载技能 ZIP
在 Claude 中上传
前往 设置 → 功能 → 技能 → 上传技能
开启并开始使用
测试它
正在使用“vulnerability-scanner”。 运行我的项目安全扫描
预期结果:
安全扫描结果:
总体状态:发现 3 个问题
- 严重:0
- 高:2
- 中:1
扫描摘要:
1. 代码模式:发现 2 个高风险模式
- 在 utils.js:42 检测到 eval() 使用
- 在 database.js:15 存在 SQL 字符串拼接
2. 配置:1 个中等问题
- config/development.json 中启用了调试模式
建议:
- 用更安全的替代方案替换 eval()
- 使用参数化查询而不是字符串拼接
- 在生产配置中禁用调试模式
正在使用“vulnerability-scanner”。 检查硬编码的机密
预期结果:
机密扫描结果:
已扫描:156 个文件
发现机密:1 个
- 在 src/config.js:12 检测到 API 密钥
类型:通用 API 密钥
严重程度:高
建议:将机密移至环境变量或机密管理器。切勿将 API 密钥提交到源代码控制。
安全审计
安全This is a defensive security skill that teaches vulnerability scanning principles. All static findings are false positives - the flagged patterns (eval, exec, pickle, secrets, API keys) are documented as patterns to DETECT or are in teaching examples, not actual vulnerabilities. The included security_scan.py script is a defensive scanner that identifies dangerous code patterns in user projects.
质量评分
你能构建什么
部署前安全检查
在生产部署前对代码库运行自动化安全扫描,尽早发现常见漏洞。
安全审计工作流
使用 OWASP 检查清单和优先级框架进行系统化安全审计。
安全编码教育
了解常见漏洞模式以及如何在不同编程语言中避免它们。
试试这些提示
使用 vulnerability-scanner 技能扫描 [PROJECT_PATH] 的项目以查找安全问题。运行完整扫描并报告发现。
使用 vulnerability-scanner 技能扫描代码库中硬编码的机密、API 密钥和凭据。检查 AWS 密钥、令牌、密码和私钥。
使用 vulnerability-scanner 技能审计依赖项以查找已知漏洞。检查过时的包和供应链风险。
使用 vulnerability-scanner 技能执行全面安全评估,包括:依赖项审计、机密扫描、危险代码模式检测和配置审查。按严重程度优先处理发现并提供修复步骤。
最佳实践
- 在开发生命周期中尽早并频繁运行安全扫描,以便在部署前发现问题
- 结合 CVSS 评分与业务背景和资产价值来优先处理发现结果
- 在采取行动前手动验证所有发现结果——自动化扫描器会产生误报
- 维护已知安全模式的基线,以减少重复扫描中的噪音
避免
- 未经调查就忽略扫描器警告——即使是低严重性问题也可能被组合利用
- 仅依赖自动化工具而不进行手动安全审查和威胁建模
- 仅在部署前扫描一次而不再重复——新漏洞不断出现
- 不加区分地将所有扫描器发现结果视为同等重要而不进行优先级排序