网络安全 Skill技能列表
安全审计专家Skill security-auditor
安全审计专家技能用于全面分析应用程序代码、基础设施配置和依赖项,以检测安全漏洞。基于OWASP Top 10标准,涵盖身份验证、授权、数据保护、加密和安全编码实践,识别安全风险并提供具体修复建议。关键词包括安全审计、漏洞扫描、OWASP、渗透测试、代码分析、安全风险评估。
威胁建模Skill threat-model
威胁建模技能提供结构化方法论,用于在系统设计阶段识别、分析和缓解安全威胁。它适用于规划新系统、审查架构安全、识别潜在威胁和评估风险。关键词包括威胁建模、STRIDE、DREAD、攻击树、安全架构、风险分析、漏洞评估、安全态势和防御深度。
安全扫描Skill security-scan
本技能提供快速、例行的安全检查,用于开发期间频繁运行,帮助早期检测硬编码秘密、依赖项漏洞、容器镜像漏洞和常见安全反模式。支持多种工具和集成,适用于DevOps工作流,防止安全泄露和漏洞引入。关键词:安全扫描、漏洞检测、依赖审计、容器安全、静态代码分析、DevOps安全、快速安全检查、预提交安全。
依赖扫描Skill dependency-scan
依赖扫描技能用于检测和管理项目依赖中的安全漏洞、过时包、许可证合规问题,支持跨多种编程语言的自动化扫描、SBOM生成和供应链安全分析。关键词:依赖扫描、安全漏洞、CVE检测、SBOM、许可证合规、供应链安全、DevOps、自动化审计。
身份验证与授权Skill auth
此技能专注于现代应用的身份验证与授权策略,涵盖OAuth2、JWT、RBAC/ABAC、会话管理、API密钥、密码哈希和多因素认证(MFA)。适用于实现登录流程、访问控制、身份管理、令牌处理、权限管理、会话处理、API密钥认证或MFA,包含关键词:身份验证、授权、OAuth2、JWT、RBAC、ABAC、MFA、安全认证、令牌管理、访问控制、会话安全。
Wycheproof加密测试技能Skill wycheproof
Wycheproof 是一个用于验证加密实现正确性的技能,提供广泛的测试向量来检测已知攻击和边缘情况。关键词:加密测试、测试向量、安全验证、密码学、漏洞检测。
测试手册生成器Skill testing-handbook-generator
这个技能是一个元技能,专门用于分析Trail of Bits测试手册(appsec.guide),并基于其内容自动生成安全测试工具和技术的Claude Code技能。它帮助安全测试人员、开发者和测试工程师快速创建和更新测试技能,覆盖静态分析、模糊测试、加密测试等安全测试领域,提高测试效率和自动化水平。关键词:安全测试、测试手册、技能生成、Claude Code、漏洞挖掘、静态分析、模糊测试、自动化测试。
模糊测试字典技术Skill fuzzing-dictionary
模糊测试字典技术是一种软件测试和安全分析方法,通过提供特定领域的令牌(如关键词、魔法数字、协议命令)来指导模糊测试器,从而提高测试覆盖率和漏洞发现效率。该技术常用于漏洞挖掘、软件安全测试、解析器测试和协议验证,关键词包括模糊测试、字典、漏洞挖掘、软件安全、测试覆盖、协议测试。
定时攻击检测技能Skill constant-time-testing
这个技能用于检测密码学代码中的定时侧信道漏洞,通过统计分析和动态追踪工具如dudect和timecop,识别执行时间与秘密数据相关的泄漏,确保密码实现的安全性。关键词包括定时攻击、侧信道分析、密码学安全、恒定时间编程、安全审计、漏洞检测。
CodeQL静态分析Skill codeql
CodeQL 是一个静态代码分析框架,用于将代码作为数据库查询,支持跨过程控制和数据流分析,帮助开发者发现安全漏洞和代码缺陷。关键词:静态分析、代码安全、漏洞挖掘、数据流分析、控制流分析、CodeQL、安全测试。
AFL++模糊测试Skill aflpp
AFL++ 是一个用于软件安全测试的模糊测试工具,特别适用于 C/C++ 项目的多核模糊测试,能够高效发现漏洞,提高代码覆盖率,并支持多样化变异策略和成熟工具集成,是网络安全和软件测试领域的重要技能。
测试手册技能Skill testing-handbook-skills
这是一个全面的安全测试工具包,用于应用程序安全测试,包括设置模糊测试活动、编写测试工具、分析代码覆盖率、运行消毒器、进行静态分析和密码学测试。关键词:安全测试、模糊测试、静态分析、密码学、覆盖率分析、消毒器、代码审查、漏洞挖掘。