reasonless-throne486/sast-skills
GitHub: reasonless-throne486/sast-skills
将 Claude Code、Cursor 等 AI 编码助手转化为 SAST 扫描器的一组 Agent Skills,帮助开发者在编码和代码审查阶段发现常见安全漏洞。
Stars: 0 | Forks: 0
# 🛡️ sast-skills - 将你的 AI 变成 SAST 扫描器
[](https://github.com/reasonless-throne486/sast-skills)
## 🚀 你将获得什么
sast-skills 是一组 agent skills,可帮助你的 AI 编码器检查代码中的安全问题。它为 AI 提供了一种清晰的方式来查找常见的应用程序风险、薄弱的代码模式以及需要进一步审查的代码。
当你希望你的 AI 工具表现得更像一个 SAST 扫描器时,请使用它。它非常适合在编码、代码审查和安全分类期间进行快速检查。
## 🖥️ Windows 设置
本项目托管在 GitHub 上。在 Windows 上,你应该访问此页面下载并设置文件:
[访问 sast-skills 仓库](https://github.com/reasonless-throne486/sast-skills)
## 📦 本仓库包含什么
本仓库包含的 agent skills 可指导 AI 编码器完成安全检查。这些 skills 用于以下任务:
- 扫描源代码以查找不安全的模式
- 发现输入处理风险
- 检查身份验证和访问控制逻辑
- 查找弱加密用法
- 审查常见的 Web 应用程序漏洞
- 协助安全编码审查步骤
目的不是替代完整的安全工具。目的是为你的 AI 助手提供一个更好的流程,以便在代码中发现问题。
## 🧰 开始之前
你只需要满足几个基本条件:
- 一台 Windows PC
- 一个网络浏览器
- 一个 GitHub 账户(如果你想克隆或保存该仓库)
- 一个支持自定义 skills 或指令的 AI 编码工具
如果你使用 Claude 或 Claude Code,这个仓库能很好地适应你的工作流。
## 📥 下载和使用
要开始使用,请访问 GitHub 页面,从那里下载或复制仓库文件:
[在 GitHub 上下载或打开 sast-skills](https://github.com/reasonless-throne486/sast-skills)
之后,将文件放置在你的 AI 工具可以读取的位置。许多工具使用项目文件夹、skills 文件夹或自定义指令路径。
## 🪟 如何在 Windows 上进行设置
1. 在浏览器中打开 GitHub 链接。
2. 将仓库下载为 ZIP 文件,或者如果你使用 Git,可以直接克隆它。
3. 将文件保存在你以后容易找到的文件夹中,例如“文档”或“桌面”。
4. 如有需要,解压 ZIP 文件。
5. 打开你的 AI 编码工具。
6. 将仓库文件夹添加到该工具的 skill 或指令位置。
7. 启动审查任务,并要求 AI 扫描你的代码以查找安全问题。
## 🔍 如何使用 Skills
文件放置到位后,你可以要求你的 AI 编码器执行以下操作:
- 审查文件以查找安全漏洞
- 在发布新功能之前对其进行检查
- 查找有风险的用户输入处理
- 查找可能暴露机密信息的位置
- 将代码与常见的 SAST 规则进行比较
- 解释某个模式可能不安全的原因
提示词示例:
- 扫描此文件以查找安全问题
- 审查此代码以查找 SAST 风格的发现
- 查找身份验证和输入处理问题
- 检查不安全的文件使用和弱验证
## ⚙️ 最适合搭配使用
当你的 AI 工具能够读取本地文件并遵循结构化指令时,sast-skills 效果最好。它非常适合:
- Claude
- Claude Code
- 其他支持 skill 的 AI 编码工具
- 代码审查工作流
- 提交 pull request 之前的安全审查
## 🧪 典型用例
在需要以下方面的帮助时,请使用此仓库:
- Web 应用安全审查
- API 输入检查
- 访问控制审查
- 机密检测
- 依赖项风险审查
- 开发期间的安全编码检查
## 📁 建议的文件夹设置
一个简单的 Windows 文件夹布局可以如下所示:
- Documents
- AI-Tools
- sast-skills
- skill 文件放在这里
这使文件易于查找,并允许你的 AI 工具从一个位置读取它们。
## 🛠️ 如果遇到问题
如果你的 AI 工具未能识别 skills,请检查以下各项:
- 仓库文件夹位于正确的位置
- 文件已完全解压
- 工具指向了正确的文件夹
- 你的 AI 工具拥有读取本地文件的权限
- 你在添加文件后重新启动了该工具
## 🔐 安全重点
此仓库可帮助你的 AI 查找常见的安全问题,例如:
- 不安全的用户输入处理
- 缺少验证
- 弱身份验证检查
- 不良的文件处理
- 机密泄露
- 有风险的代码模式
它为你的 AI 提供了一种更具针对性的审查方法,这可以帮助你在工作中更早地发现问题。
## 🧭 主题
- ai-security
- claude
- claude-code
- sast
## 📚 快速入门流程
1. 打开 GitHub 仓库。
2. 下载或克隆文件。
3. 将文件夹放在你的 AI 工具可以访问的位置。
4. 将文件夹连接到你的 AI 工具。
5. 要求 AI 扫描你的代码以查找安全问题。
6. 审查发现的问题并修复有风险的部分
## 💡 提示词示例
- 像 SAST 扫描一样审查这个项目
- 查找此文件中的安全问题
- 检查此代码是否存在不安全的模式
- 用简单的术语解释风险
- 向我展示最有可能的安全漏洞
- 在我提交此更改之前对其进行审查
## 🧩 为什么此仓库有帮助
许多 AI 工具都能阅读代码,但它们并不总是遵循强大的安全流程。这个仓库为它们提供了一个更好的路径。它帮助 AI 专注于 SAST 工具会标记的那些问题,同时仍然保持输出内容通俗易懂。
## 🗂️ 文件使用指南
如果仓库包含多个 skill 文件,请将它们保存在同一个文件夹中。如果你的 AI 工具允许你为 skills 或指令集命名,请使用一个能明确说明用途的名称,例如:
- SAST review
- Security scan
- Code risk check
- Secure code review
## 🔗 访问仓库
使用此链接访问项目页面,下载文件,并在你的 Windows PC 上设置 sast-skills:
[https://github.com/reasonless-throne486/sast-skills](https://github.com/reasonless-throne486/sast-skills)
标签:Agent Skills, AI智能体, AI编程助手, Claude Code, Cursor, DLL 劫持, GitHub项目, LLM, SAST, Unmanaged PE, WAF测试, Windows开发环境, 不安全模式识别, 代码安全扫描, 大语言模型, 安全技能包, 安全编码, 弱加密检测, 提示注入检测, 源码分析, 盲注攻击, 自动化安全审查, 访问控制检查, 输入校验风险, 静态应用安全测试