网络安全 Skill技能列表
Semgrep安全扫描技能Skill semgrep
这个技能用于自动化执行 Semgrep 静态代码分析,检测代码中的安全漏洞和错误,支持多语言并行扫描、自动规则集选择和用户批准流程。适用于安全审计、漏洞挖掘和代码质量检查,关键词包括:安全扫描、静态分析、漏洞检测、代码审计、Semgrep、安全审计、并行扫描、自动化测试、DevOps 安全。
SARIF解析技能Skill sarif-parsing
SARIF解析技能专注于读取、分析和处理SARIF(静态分析结果交换格式)文件,支持处理安全扫描结果、聚合多工具发现、去重警报、提取特定漏洞,以及集成到CI/CD管道中,助力安全审计和代码质量评估。关键词:SARIF、静态分析、安全扫描、CI/CD、漏洞挖掘、代码审计、安全工具集成。
CodeQL安全分析技能Skill codeql
本技能用于运行 CodeQL 静态分析工具,通过过程间数据流和污点追踪技术检测代码中的安全漏洞。支持多种编程语言,包括 Python、JavaScript、Go、Java、C/C++、C#、Ruby、Swift。适用于安全审计、漏洞挖掘和代码安全扫描。关键词:CodeQL, 安全分析, 静态分析, 数据流, 污点追踪, 安全漏洞, 代码审计。
防滥用API与配置分析Skill sharp-edges
用于识别API设计、配置模式和接口中的安全隐患,确保开发者在默认情况下遵循安全最佳实践。关键词:API安全、配置审计、防滥用设计、安全默认值、代码审查、易错识别、威胁建模、安全漏洞预防。
Semgrep规则变体创建器Skill semgrep-rule-variant-creator
这个技能用于将现有的Semgrep安全规则移植到新的编程语言,通过适用性分析和测试驱动验证,确保漏洞检测规则在多语言环境中的准确性和有效性。关键词:Semgrep, 规则移植, 安全测试, 代码分析, 漏洞挖掘, 多语言支持, 静态分析
Semgrep规则生成器Skill semgrep-rule-creator
此技能专用于创建高质量的Semgrep规则,用于检测代码中的安全漏洞、错误模式和特定代码模式。通过优先使用污点模式来提高精确度,适用于静态分析、安全审计和漏洞挖掘,关键词包括Semgrep、安全漏洞、静态分析、污点模式、漏洞挖掘。
不安全默认值检测Skill insecure-defaults
该技能用于检测和识别应用程序中的不安全默认设置,如硬编码密钥、弱认证机制和宽松安全配置,帮助在安全审计、配置审查和环境变量处理分析中预防生产环境漏洞。关键词:安全审计、漏洞检测、默认设置、配置管理、环境变量。
FirebaseAPK安全扫描器Skill firebase-apk-scanner
这个技能用于扫描Android APK文件中的Firebase安全配置错误,包括开放数据库、存储桶、认证问题和暴露的云函数。适用于移动应用安全审计、渗透测试和Firebase端点安全测试。关键词:Firebase安全、APK扫描、移动安全、漏洞挖掘、安全审计。
入口点分析器Skill entry-point-analyzer
入口点分析器是一个智能合约安全审计工具,用于识别和分析状态改变的函数入口点,分类访问控制,生成结构化审计报告。关键词:智能合约、安全审计、入口点分析、区块链安全、状态改变函数。
差异安全审查Skill differential-review
此技能用于对代码变更(如 PRs、commits、diffs)进行安全审查。它根据代码库大小调整分析深度,利用 git 历史提供上下文,计算影响范围,检查测试覆盖率,生成 markdown 报告,并自动检测和防止安全回归。关键词:安全审计、代码审查、git 分析、测试覆盖、安全预防、PR 审查、漏洞检测。
恒定时间分析技能Skill constant-time-analysis
此技能用于检测加密代码中的时序侧信道漏洞,通过分析多种编程语言(如C、Java、Python等)的代码,识别可能泄露秘密数据的操作,如除法运算、秘密依赖分支等,帮助开发者和安全专家确保密码学代码的恒定时间执行,防止时序攻击。关键词包括:恒定时间分析、时序攻击、侧信道安全、密码学代码审计、加密漏洞检测、时序侧信道、代码安全、网络安全工具。
代码成熟度评估器Skill code-maturity-assessor
代码成熟度评估器是一个系统性工具,用于基于Trail of Bits的9类别框架分析代码库的成熟度,覆盖算术安全、审计实践、访问控制、复杂性、去中心化、文档、MEV风险、低级代码和测试。它生成专业评分卡和可操作建议,适用于智能合约、区块链项目和一般软件的安全评估与优化。关键词:代码成熟度评估、安全审计、Trail of Bits、智能合约安全、测试覆盖率、文档评估、量化金融安全、区块链审计。