vulnerability-scanner
掃描程式碼中的安全漏洞
此技能協助開發者使用 OWASP 2025 指南和自動化掃描工具識別並優先處理程式碼庫中的安全漏洞。
下載技能 ZIP
在 Claude 中上傳
前往 設定 → 功能 → 技能 → 上傳技能
開啟並開始使用
測試它
正在使用「vulnerability-scanner」。 執行我的專案的安全掃描
預期結果:
安全掃描結果:
整體狀態:發現 3 個問題
- 嚴重:0
- 高:2
- 中:1
掃描摘要:
1. 程式碼模式:發現 2 個高風險模式
- 在 utils.js:42 偵測到 eval() 使用
- 在 database.js:15 發現 SQL 字串連接
2. 組態:1 個中等問題
- 在 config/development.json 中啟用了除錯模式
建議:
- 用更安全的替代方案替換 eval()
- 使用參數化查詢而非字串連接
- 在生產環境組態中停用除錯模式
正在使用「vulnerability-scanner」。 檢查硬編碼秘密
預期結果:
秘密掃描結果:
已掃描:156 個檔案
發現秘密:1 個
- 在 src/config.js:12 偵測到 API 金鑰
類型:一般 API 金鑰
嚴重性:高
建議:將秘密移至環境變數或秘密管理器。切勿將 API 金鑰提交到原始碼控制。
安全審計
安全This is a defensive security skill that teaches vulnerability scanning principles. All static findings are false positives - the flagged patterns (eval, exec, pickle, secrets, API keys) are documented as patterns to DETECT or are in teaching examples, not actual vulnerabilities. The included security_scan.py script is a defensive scanner that identifies dangerous code patterns in user projects.
品質評分
你能建構什麼
部署前安全檢查
在生產環境部署前對程式碼庫執行自動化安全掃描,儘早發現常見漏洞。
安全審核工作流程
使用 OWASP 檢查清單和優先級框架進行系統化的安全審核。
安全編碼教育
了解常見漏洞模式以及如何在不同程式語言中避免它們。
試試這些提示
使用 vulnerability-scanner 技能掃描我在 [PROJECT_PATH] 的專案以查找安全問題。執行完整掃描並報告發現結果。
使用 vulnerability-scanner 技能掃描我的程式碼庫中的硬編碼秘密、API 金鑰和憑證。檢查 AWS 金鑰、令牌、密碼和私鑰。
使用 vulnerability-scanner 技能審核相依性以查找已知漏洞。檢查過時的套件和供應鏈風險。
使用 vulnerability-scanner 技能執行綜合安全評估,包括:相依性審核、秘密掃描、危險程式碼模式檢測和組態審查。根據嚴重性優先處理發現結果並提供修復步驟。
最佳實務
- 在開發生命週期中及早且頻繁地執行安全掃描,在部署前發現問題
- 結合 CVSS 評分、業務情境和資產價值來優先處理發現結果
- 採取行動前手動驗證所有發現結果 - 自動化掃描器會產生誤報
- 維護已知安全模式的基準以減少重複掃描時的噪音
避免
- 未經調查就忽略掃描器警告 - 即使是低嚴重性問題也可能被組合利用
- 僅依賴自動化工具而未進行人工安全審查和威脅建模
- 只在部署前掃描一次而不再掃描 - 新漏洞不斷出現
- 未進行優先級划分就將所有掃描器發現結果視為同等重要