ch0ks/hackarandas-claude-toolbelt

# 🧰 Hackarandas Claude Security Toolbelt 一组用于安全工程的 Claude Code 规则、命令和技能集合 —— 由 [Adrian Puente Z. (@ch0ks)](https://hackarandas.com) 提供。 [](LICENSE) [](https://github.com/ch0ks/hackarandas-claude-toolbelt/actions/workflows/validate-skills.yml) ## 📦 这里包含什么 | 类型 | 位置 | 功能说明 | |------|------|----------| | **规则** | `rules/` | 注入到每个 Claude 会话中的行为准则 | | **命令** | `commands/` | 自定义的 `/slash-commands`，包含逐步的 Shell 操作流程 | | **技能** | `skills/` | 可由 Claude 技能匹配器触用的可复用任务定义 | ## 🛡️ 旗舰功能：安全审查工作流 四个技能与命令组成一个完整、可审计的安全审查流程。可以在任意仓库中按顺序运行。 ### ⚡ 阶段 1 — 初始化 **`/security-semgrep-setup`**（命令） 检查 Semgrep 是否已安装，若缺失则进行安装（优先 Homebrew → pip → pip --user），登录 Semgrep Pro，启用 Pro 引擎，并执行本地扫描。将生成带时间戳的 JSON 产物文件：`security-review/semgrep-results-YYYYMMDD.json`，供后续阶段使用。 ``` /security-semgrep-setup ``` ### 🔍 阶段 2 — 代码审查 **`security-code-review`**（技能） 读取 Semgrep 的 JSON 产物，执行跨过程污点分析，并在 OWASP Top 10 类别（注入、认证、加密、密钥泄露、SSRF 等）中进行人工审查。生成一份正式的安全代码审查报告，包含 CWE 映射、证据与修复建议，并保存为 `security-review/security-code-review-report-YYYYMMDD.md`。 ``` /security-code-review ``` ### 📊 阶段 3 — IaC 上下文分级 **`security-iac-triage`**（技能） 读取代码审查报告与 IaC 文件（Terraform、Kubernetes、Docker Compose、CloudFormation、Azure Pipelines），提取部署信息。基于 CVSS 4.0 对每个发现进行评分，并结合可观测的基础设施证据说明每个攻击向量的合理性。将分级结果追加到现有报告中。支持三种评分策略：严格、标准、宽松。 ``` /security-iac-triage ``` ### 🩹 阶段 4 — 氛围安全修补 **`security-vibe-patch`**（技能） 读取代码审查报告，使用 [Vibe Security Patching](https://hackarandas.com) 方法生成最小且精确的修复补丁。每个发现对应一次提交。若无法静态确定正确修复（置信度低）则跳过。生成安全修补报告并保存至 `security-review/`，随后打开一个结构化的安全 PR 描述。 ``` /security-vibe-patch # patch [BLOCK] findings only (default) /security-vibe-patch warn # patch [BLOCK] + [WARN] findings /security-vibe-patch all # patch all unresolved findings ``` **流水线输出**（全部位于目标仓库根目录，不会输出在此处）： ``` security-review/ ├── semgrep-results-YYYYMMDD.json ├── security-code-review-report-YYYYMMDD.md └── security-vibe-patch-report-YYYYMMDD.md ``` ## 🚀 安装 克隆本仓库并将资源文件复制到全局 Claude 配置目录。 ``` git clone https://github.com/ch0ks/hackarandas-claude-toolbelt.git cd hackarandas-claude-toolbelt # 如果不存在则创建目标目录 mkdir -p ~/.claude/rules ~/.claude/commands ~/.claude/skills # Deploy cp rules/*.md ~/.claude/rules/ cp commands/*.md ~/.claude/commands/ cp -r skills/* ~/.claude/skills/ ``` 规则与命令在新的 Claude Code 会话中立即生效；技能会在 Claude 匹配到相关描述时自动识别。 ## 📋 全部资源 ### 🎯 技能 | 技能 | 描述 | |------|------| | `security-code-review` | 完整 SAST 加人工安全审查，生成正式报告 | | `security-iac-triage` | 基于 IaC 上下文的 CVSS 4.0 分级 | | `security-vibe-patch` | 最小安全修补，每个发现一个提交并创建 PR | ### ⌨️ 命令 | 命令 | 描述 | |------|------| | `/security-semgrep-setup` | 安装 Semgrep Pro 并执行本地扫描（macOS 与 Linux） | | `/sessions` | 列出所有 Claude Code 会话及恢复命令（macOS 与 Linux） | ### 📜 规则 规则是全局应用于所有会话的行为准则。 | 规则 | 约束内容 | |------|----------| | `beads` | 使用 `bd`（Beads）进行任务跟踪，禁止使用 Markdown 编写 TODO | | `ci-cd` | SAST 门槛设置、阻断策略与产物保留策略 | | `code-review` | 严重等级标签、需标记的问题类型、审查评论写法 | | `documentation` | 注释、ADR、运行手册、README 标准 | | `git` | 约定式提交、分支命名、PR 结构 | | `python` | 代码风格、类型注解、异常处理、测试实践 | | `sast-rules` | 规则结构、严重等级定义、测试语料要求 | | `security` | 密钥管理、输入校验、依赖卫生 | | `testing` | 测试框架选择、覆盖率阈值、测试结构 | ## 📖 示例输出 对 [Apache Azkaban](https://github.com/azkaban/azkaban) 的审查所产生的实际流水线输出： | 报告 | 内容说明 | |------|----------| | [Security Code Review](https://github.com/RozulIO/azkaban/blob/security/vibe-patch-20260406/security-review/security-code-review-report-20260406.md) | 15 个发现、CWE 映射、污点分析、风险矩阵与合规影响 | | [Security Vibe Patch](https://github.com/RozulIO/azkaban/blob/security/vibe-patch-20260406/security-review/security-vibe-patch-report-20260406.md) | 4 个 `[BLOCK]` 发现处理，2 个修补，2 个跳过并提供手动修复建议 | 完整上下文请参考 [docs/example-security-review.md](docs/example-security-review.md)。 ## 👤 作者 **Adrian Puente Z.** [](https://github.com/ch0ks) [](https://x.com/ch0ks) [](https://x.com/hackarandas) [](https://hackarandas.com) ## 📄 许可证 MIT — 参见 [LICENSE](LICENSE)。

标签：Claude Code, GitHub Actions, Homebrew, IaC 安全, MIT License, OWASP Top 10, pip, Semgrep, semgrep-pro, trivy, WordPress安全扫描, 云安全监控, 代码审查报告, 可复用技能, 命令工具, 威胁建模, 子域名突变, 安全审查, 安全工程, 工作流自动化, 技能库, 斜杠命令, 结构化查询, 自动化安全, 自动笔记, 规则集, 请求拦截, 逆向工具, 静态分析