
精選
應用安全工具包
使用統一的 AppSec 工作流程掃描程式碼、依賴項和執行中的目標
3 技能 2 安裝次數
securityappsecsastdastscadevsecops
56 天前更新
安裝
執行此指令以安裝此技能包中的所有技能:
npx skillstore add @application-security-toolkit CLI 會自動偵測 Codex 與 Claude Code 資料夾;如果兩者都可用,會同時安裝。
總覽
使用指南
由 AI 強化詳細指南
## 概述 統一的 AppSec 工作流程,涵蓋程式碼、依賴項和執行中的目標 — 三種互補的掃描方法集於一個外掛程式中。 - **sast-semgrep** — 靜態分析:使用 OWASP Top 10 和 CWE 對應掃描原始碼中的漏洞 - **dast-nuclei** — 動態掃描:探測執行中的網頁應用程式、API 和基礎設施中的已知 CVE 和錯誤配置 - **sca-trivy** — 組合分析:檢查依賴項、容器映像檔和 IaC 中的 CVE、授權風險,並生成 SBOM ## 快速入門 1. 安裝外掛程式:`npx skillstore add @application-security-toolkit` 2. 對您的程式碼庫執行 sast-semgrep 以找出程式碼層級的漏洞 3. 使用 sca-trivy 掃描容器映像檔和依賴項以找出已知 CVE 4. 將 dast-nuclei 指向**預備環境**目標以偵測執行期漏洞 ## 授權範圍 **重要:DAST 掃描會向目標發送即時請求。** 請遵循以下規則: - **未經目標所有者明確書面授權,切勿對正式環境執行 dast-nuclei** - DAST 掃描預設應以預備/開發環境為目標 - 使用 Nuclei 的速率限制控制項(`-rate-limit`、`-bulk-size`)以避免對目標造成過載 - sast-semgrep 和 sca-trivy 為唯讀執行,可安全地在任何程式碼庫上執行,無需特殊授權 - 使用 sca-trivy 掃描第三方依賴項時,僅分析本機/快取的構件 — 不會進行外部探測 ## 失敗處理與復原 **原則:優先報告,永不安動修復。必需進行人工審查。** - 三種工具都會產生**報告** — 不會自動修改原始碼或修補漏洞 - 發現項目應按嚴重性分級(嚴重 > 高 > 中 > 低)後再採取行動 - **預期會有誤判**,尤其是 SAST 模式匹配。在建立修復 PR 之前務必驗證發現項目 - 若要整合至 CI/CD:設定嚴重性閾值(`--severity critical,high`)僅在確認高影響問題時才讓建置失敗 - sca-trivy SARIF 輸出可匯入 GitHub Security 分頁以供團隊全面檢視 - 保留掃描結果作為構件 — 即使所有發現項目都已解決,也不要丟棄報告 ## 關鍵指令 - `/sast-semgrep` — 使用 OWASP/CWE 框架對應執行 Semgrep 靜態分析 - `/dast-nuclei` — 針對目標 URL 啟動 Nuclei 模板式掃描 - `/sca-trivy` — 掃描依賴項、容器或 IaC 中的 CVE 和授權問題 ## 技巧 - 在每個 PR 上於 CI 中執行 sast-semgrep 和 sca-trivy;將 dast-nuclei 保留用於預備環境的排程安全審查 - 將 sca-trivy SBOM 輸出與 sast-semgrep 發現項目結合,以獲得完整的供應鏈風險全景 - 建立自訂 Semgrep 規則和 Nuclei 模板以針對組織特定的安全模式
技能
3📦
sast-semgrep
中風險 76使用 Semgrep SAST 掃描程式碼
安全團隊需要可重複的程式碼審查,而不必從零開始建立規則。此技能會引導 Semgrep 掃描、OWASP 與 CWE 對應、修復,以及 CI 整合。
🔒 安全與法遵 由 AgentSecOps ⚙️🌐🔑📁⚡
📦
dast-nuclei
中風險 50使用 Nuclei 掃描 Web 應用程式
安全團隊需要快速檢查已知漏洞,而不必從零開始建立每一項測試。此技能可協助 Claude、Codex 和 Claude Code 指導已授權的 Nuclei 掃描、CI 工作流程與結果驗證。
🔒 安全與法遵 由 AgentSecOps ⚙️🌐📁🔑⚡
📦
sca-trivy
中風險 75使用 Trivy 掃描相依套件與容器
團隊需要一種可重複執行的方法,在發布前找出有漏洞的套件、不安全的映像檔,以及 IaC 設定錯誤。此技能會引導 Claude、Codex 和 Claude Code 完成 Trivy 掃描、SBOM 輸出、CI 關卡與修復規劃。
🔒 安全與法遵 由 AgentSecOps ⚙️🌐📁


