安全审计 Skill技能列表
CodeQL安全分析技能Skill codeql
本技能用于运行 CodeQL 静态分析工具,通过过程间数据流和污点追踪技术检测代码中的安全漏洞。支持多种编程语言,包括 Python、JavaScript、Go、Java、C/C++、C#、Ruby、Swift。适用于安全审计、漏洞挖掘和代码安全扫描。关键词:CodeQL, 安全分析, 静态分析, 数据流, 污点追踪, 安全漏洞, 代码审计。
差异安全审查Skill differential-review
此技能用于对代码变更(如 PRs、commits、diffs)进行安全审查。它根据代码库大小调整分析深度,利用 git 历史提供上下文,计算影响范围,检查测试覆盖率,生成 markdown 报告,并自动检测和防止安全回归。关键词:安全审计、代码审查、git 分析、测试覆盖、安全预防、PR 审查、漏洞检测。
SupabaseEdgeFunctions安全审计Skill supabase-audit-functions
这个技能专为安全审计设计,用于自动发现和测试Supabase Edge Functions的安全漏洞、认证问题、输入验证错误等,适用于渗透测试、云安全审计和DevOps安全实践。关键词:Supabase, Edge Functions, 安全审计, 漏洞检测, 云安全, 渗透测试, 无服务器安全。
信息流分析器Skill information-flow-analyzer
信息流分析器是一种用于分析程序信息流的安全技能,旨在强制执行安全政策以防止数据泄露。它涉及安全标签分配、流跟踪、策略执行、脱密和隐式流处理等关键功能,适用于安全审计、漏洞挖掘、污点追踪和构建安全系统。关键词:信息流分析、安全审计、数据泄露预防、污点追踪、安全政策、信息安全、程序分析。
安全陷阱规避指南Skill pitfalls-security
本技能提供软件开发中常见安全陷阱的识别与规避模式,涵盖会话密钥管理、敏感数据缓存、结构化日志记录、环境变量处理等核心安全实践。适用于前后端开发、DevOps及安全审计场景,帮助开发者构建更安全的应用程序。关键词:会话密钥安全、缓存策略、日志脱敏、环境变量、AES-256-GCM、审计日志、安全编码。
SupabaseJWT提取Skill supabase-extract-jwt
此技能用于从客户端代码中提取和分析Supabase相关的JSON Web Tokens(JWT),支持安全审计、身份认证流程分析和漏洞检测。关键词包括Supabase、JWT提取、安全审计、网络安全、身份认证。
SecretsDetectionwithGitleaksSkill secrets-gitleaks
Gitleaks是一个用于检测git仓库中硬编码秘密的工具,它通过正则表达式和熵分析来识别潜在的安全风险,如密码、API密钥等。这个技能提供了如何将Gitleaks集成到DevSecOps工作流程中的指导,强调在代码投入生产前防止秘密泄露。
静态应用安全测试(SAST)工具Skill sast-semgrep
本技能是一个基于Semgrep的静态应用安全测试(SAST)解决方案,专为开发和安全团队设计。它提供自动化代码漏洞扫描、安全代码审查、OWASP Top 10与CWE框架映射、修复指导以及CI/CD流水线集成。核心功能包括多语言漏洞检测、模式化安全审查、自定义规则开发、合规性支持(如SOC2、PCI-DSS)和性能优化扫描。适用于提升软件开发生命周期(SDLC)中的安全性,实现左移安全(Shift-Left Security)。关键词:静态应用安全测试 SAST,Semgrep,代码安全扫描,漏洞检测,OWASP Top 10,CWE,安全代码审查,CI/CD安全,DevSecOps,应用程序安全。
Horusec多语言静态应用安全扫描器Skill sast-horusec
Horusec 是一款强大的开源多语言静态应用安全测试工具,支持 18 种以上编程语言和 20 多种安全分析引擎。它能高效执行代码漏洞扫描、Git 历史记录中的秘密检测,并可与 CI/CD 管道无缝集成,助力构建安全的软件开发生命周期。关键词:静态应用安全测试 SAST,多语言代码扫描,漏洞检测,秘密泄露检测,CI/CD 安全集成,DevSecOps,开源安全工具。
Python安全扫描工具Skill sast-bandit
Bandit是一款专业的Python代码安全扫描工具,专注于静态应用程序安全测试(SAST)。它能自动检测Python代码中的安全漏洞、硬编码密钥、SQL注入、命令注入等常见风险,并提供详细的严重性分级和修复建议。该工具支持CWE和OWASP安全框架映射,可集成到CI/CD流水线中,帮助开发团队在开发早期发现并修复安全问题,提升代码安全性。关键词:Python安全扫描,静态代码分析,SAST工具,漏洞检测,CI/CD安全,Bandit,代码审计,安全开发。
pytmSkill pytm
pytm是一个Python库,用于基于STRIDE方法论的程序化威胁建模,能够帮助安全工程师通过代码定义系统架构,自动生成数据流图,识别跨信任边界的安全威胁,并生成全面的威胁报告。
安全审计Skill security-audit
安全审计技能是用于进行系统性安全审查与漏洞评估的专业能力。核心功能包括代码安全审查、OWASP Top 10漏洞识别、CVSS风险评分、依赖库漏洞分析、身份认证与数据保护审计,并提供详细的修复路线图。适用于软件发布前安全审查、合规审计、渗透测试准备及事件响应分析等场景。关键词:安全审计、漏洞评估、代码审查、OWASP、CVSS评分、安全合规、渗透测试、修复方案。