trailofbits/skills

# Trail of Bits 技能市场 来自 Trail of Bits 的 Claude Code 插件市场，提供增强 AI 辅助安全分析、测试和开发工作流的技能。 ## 安装 ### 添加市场 ``` /plugin marketplace add trailofbits/skills ``` ### 浏览并安装插件 ``` /plugin menu ``` ### 本地开发 要在本地添加市场（例如用于测试或开发），请导航到此代码库的**父目录**： ``` cd /path/to/parent # e.g., if repo is at ~/projects/skills, be in ~/projects /plugins marketplace add ./skills ``` ## 可用插件 ### 智能合约安全 | Plugin | Description | |--------|-------------| | [building-secure-contracts](plugins/building-secure-contracts/) | 智能合约安全工具包，包含针对 6 条区块链的漏洞扫描器 | | [entry-point-analyzer](plugins/entry-point-analyzer/) | 识别智能合约中改变状态的入口点，用于安全审计 | ### 代码审计 | Plugin | Description | |--------|-------------| | [agentic-actions-auditor](plugins/agentic-actions-auditor/) | 审计 GitHub Actions 工作流中的 AI 代理安全漏洞 | | [audit-context-building](plugins/audit-context-building/) | 通过超精细的代码分析构建深度架构上下文 | | [burpsuite-project-parser](plugins/burpsuite-project-parser/) | 从 Burp Suite 项目文件中搜索和提取数据 | | [differential-review](plugins/differential-review/) | 结合 git 历史分析进行代码变更的安全聚焦差异审查 | | [insecure-defaults](plugins/insecure-defaults/) | 检测不安全的默认配置、硬编码凭证和故障开放（fail-open）安全模式 | | [semgrep-rule-creator](plugins/semgrep-rule-creator/) | 创建和优化用于自定义漏洞检测的 Semgrep 规则 | | [semgrep-rule-variant-creator](plugins/semgrep-rule-variant-creator/) | 将现有的 Semgrep 规则移植到新的目标语言，并进行测试驱动验证 | | [sharp-edges](plugins/sharp-edges/) | 识别易出错的 API、危险配置和易误用设计（footgun designs） | | [static-analysis](plugins/static-analysis/) | 包含 CodeQL、Semgrep 和 SARIF 解析的静态分析工具包 | | [supply-chain-risk-auditor](plugins/supply-chain-risk-auditor/) | 审计项目依赖项的供应链威胁态势 | | [testing-handbook-skills](plugins/testing-handbook-skills/) | 来自 [Testing Handbook](https://appsec.guide) 的技能：fuzzers、静态分析、sanitizers、覆盖率 | | [variant-analysis](plugins/variant-analysis/) | 使用基于模式的分析在代码库中查找相似漏洞 | ### 恶意软件分析 | Plugin | Description | |--------|-------------| | [yara-authoring](plugins/yara-authoring/) | YARA 检测规则编写，包含 linting、atom 分析和最佳实践 | ### 验证 | Plugin | Description | |--------|-------------| | [constant-time-analysis](plugins/constant-time-analysis/) | 检测加密代码中由编译器引起的时间侧信道 | | [property-based-testing](plugins/property-based-testing/) | 针对多种语言和智能合约的属性测试（Property-based testing）指南 | | [spec-to-code-compliance](plugins/spec-to-code-compliance/) | 用于区块链审计的规范到代码合规性检查器 | | [zeroize-audit](plugins/zeroize-audit/) | 检测 C/C++ 和 Rust 中秘密数据缺失或被编译器消除的归零（zeroization）操作 | ### 逆向工程 | Plugin | Description | |--------|-------------| | [dwarf-expert](plugins/dwarf-expert/) | 与 DWARF 调试格式交互并理解其内容 | ### 移动安全 | Plugin | Description | |--------|-------------| | [firebase-apk-scanner](plugins/firebase-apk-scanner/) | 扫描 Android APK 以发现 Firebase 安全配置错误 | ### 开发 | Plugin | Description | |--------|-------------| | [ask-questions-if-underspecified](plugins/ask-questions-if-underspecified/) | 在实现之前澄清需求 | | [devcontainer-setup](plugins/devcontainer-setup/) | 使用 Claude Code 和特定语言工具创建预配置的 devcontainers | | [gh-cli](plugins/gh-cli/) | 拦截 GitHub URL 获取并重定向到已认证的 `gh` CLI | | [git-cleanup](plugins/git-cleanup/) | 通过门控确认工作流安全清理 git worktrees 和本地分支 | | [let-fate-decide](plugins/let-fate-decide/) | 使用加密随机性抽取塔罗牌，为模糊的计划增加熵 | | [modern-python](plugins/modern-python/) | 结合 uv、ruff 和 pytest 的现代 Python 工具与最佳实践 | | [seatbelt-sandboxer](plugins/seatbelt-sandboxer/) | 生成最小化的 macOS Seatbelt 沙箱配置 | | [second-opinion](plugins/second-opinion/) | 使用外部 LLM CLI（OpenAI Codex、Google Gemini）对变更、差异或提交运行代码审查。内置 Codex 的 MCP 服务器。 | | [skill-improver](plugins/skill-improver/) | 使用自动化的修复-审查循环进行迭代技能优化 | | [workflow-skill-design](plugins/workflow-skill-design/) | 针对基于工作流的 Claude Code 技能的设计模式，包含审查代理 | ### 团队管理 | Plugin | Description | |--------|-------------| | [culture-index](plugins/culture-index/) | 解读个人和团队的 Culture Index 调查结果 | ### 工具 | Plugin | Description | |--------|-------------| | [claude-in-chrome-troubleshooting](plugins/claude-in-chrome-troubleshooting/) | 诊断并修复 Claude in Chrome MCP 扩展的连接问题 | ### 基础设施 | Plugin | Description | |--------|-------------| | [debug-buttercup](plugins/debug-buttercup/) | 调试 [Buttercup](https://github.com/trailofbits/buttercup) Kubernetes 部署 | ## 荣誉榜 使用 Trail of Bits 技能发现的漏洞。发现了什么？[告诉我们！](https://github.com/trailofbits/skills/issues/new?template=trophy-case.yml) 在报告您发现的漏洞时，欢迎提及： | Skill | Bug | |-------|-----| | constant-time-analysis | [ML-DSA 签名中的时间侧信道](https://github.com/RustCrypto/signatures/pull/1144) | ## 贡献 我们欢迎贡献！请参阅 [CLAUDE.md](CLAUDE.md) 了解技能编写指南。 ## 许可证 本作品采用 [知识共享署名-相同方式共享 4.0 国际许可协议](https://creativecommons.org/licenses/by-sa/4.0/) 进行许可。由 [Trail of Bits](https://www.trailofbits.com/) 制作。

标签：AI安全, Burp Suite, Chat Copilot, Claude插件, DevSecOps, DLL 劫持, GitHub Actions, Semgrep, Trail of Bits, WordPress安全扫描, XML 请求, 上游代理, 云安全监控, 代码分析, 代码审查, 凭证管理, 区块链安全, 大语言模型, 安全开发, 文档安全, 智能合约审计, 网络安全, 网络安全研究, 自动笔记, 请求拦截, 逆向工具, 隐私保护, 静态分析