roodlicht/accans-sec-skills

GitHub: roodlicht/accans-sec-skills

一套为 Claude AI 提供结构化安全实战技能的目录,横跨 AppSec、渗透测试、蓝队和 GRC 四大领域,以 NL/EU 法规为根基并支持按 Profile 选择性安装。

Stars: 3 | Forks: 0

![accans-sec-skills 横幅](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/2bd1bc722b170650.svg) # accans-sec-skills 一个由结构化 `SKILL.md` 文件组成的目录,旨在为 Claude 赋予涵盖整个 SDLC 的安全实战技能:AppSec 与 DevSecOps、Pentest 与 Red Team、Blue Team 与 IR、GRC 与合规,以及贯穿各层的核心基础技能。将一个配置文件包放入 `~/.claude/`(或在浏览器中自行选择构建),当你提出请求时,Claude 会自动路由到相应的项目。 由 **[Accans](https://accans.com)** 维护 —— 具备 NL/EU 法规基础的安全工程。 ## 这是什么 五个配置文件,49 个项目,统一的架构。每个项目都是一个结构化的 Markdown 文件(`SKILL.md`、Agent 定义或斜杠命令),包含可供 Claude 匹配器读取的前言描述,以及用于引导 Claude 掌握方法论、范围约束、输出格式和主要来源引用的正文内容。 | Profile | Items | Focus | |----------|-------|-------| | `core` | 7 | 跨领域基础:secure-coding、security-review、secrets-scanner、cve-triage、threat-modeler、security-gate、verification-loop。 | | `appsec` | 21 | Core + DevSecOps 和特定框架的保护机制:SAST/DAST、IaC、container、k8s、API、supply-chain、Django、Spring、Rails、Next.js、Astro、Symfony、CI/CD。 | | `pentest` | 12 | Recon、exploit-chain、payload library、AD attack paths、web-exploit triage、C2 hygiene、phishing-sim、post-exploitation、reporter。 | | `blue` | 11 | IR runbook、detection-engineer、log-triage (CloudTrail / Entra / Workspace / Okta)、SIEM queries、IOC hunter、malware-triage、forensics-assist、alert-tuning、purple-ops、threat-hunt。 | | `grc` | 10 | NIS2、DORA、ISO 27001、SOC 2、AVG/GDPR PIA、risk-register、policy-drafter、vendor-questionnaire、audit-evidence — 以 EU/NL 为根基。 | `full` 包含所有内容(49 个)。 ### Profile 架构 ``` %%{init: {'theme':'base', 'themeVariables': {'primaryColor':'#11182d','primaryTextColor':'#cdd5e8','primaryBorderColor':'#4f7df9','lineColor':'#5b6584'}}}%% flowchart TB Root(["accans-sec-skills · 49 items"]) Root --> Core["core · 7
secure-coding, security-review,
verification-loop, secrets-scanner,
cve-triage, threat-modeler, security-gate"] Core ==>|"all 7"| AppSec["appsec · 21
SAST/DAST · IaC · container · k8s ·
API · supply-chain · Django · Spring ·
Rails · Next.js · Astro · Symfony · CI/CD"] Core -.->|"verification-loop
+ security-review"| Pentest["pentest · 12
recon · exploit-chain · payload-crafter ·
AD-attacks · web-exploit-triage ·
C2-hygiene · phishing-sim · post-exploit ·
pentest-reporter · purple-ops"] Core -.->|"verification-loop"| Blue["blue · 11
IR-runbook · detection-engineer ·
log-triage · siem-query · ioc-hunter ·
malware-triage · forensics-assist ·
alert-tuning · purple-ops · threat-hunt"] Core -.->|"verification-loop"| GRC["grc · 10
NIS2 · DORA · AVG/GDPR · ISO 27001 ·
SOC 2 · risk-register · policy-drafter ·
vendor-questionnaire · audit-evidence"] Pentest -. dual-cat .- Blue style Root fill:#0a0f1f,stroke:#4f7df9,stroke-width:2px,color:#fff style Core fill:#11182d,stroke:#4f7df9,color:#cdd5e8 style AppSec fill:#11182d,stroke:#5b6584,color:#cdd5e8 style Pentest fill:#11182d,stroke:#5b6584,color:#cdd5e8 style Blue fill:#11182d,stroke:#5b6584,color:#cdd5e8 style GRC fill:#11182d,stroke:#5b6584,color:#cdd5e8 ``` 继承关系是不对称的。`appsec` 拉取了所有 7 个 core 项目(粗箭头)。`pentest` 拉取了 `verification-loop` + `security-review`。`blue` 和 `grc` 仅拉取 `verification-loop` —— 这是一个随每个 Profile 一起提供的通用自检环节。`purple-ops` 属于双重类别(同时存在于 `pentest` 和 `blue` 中);水平虚线标示了这种桥梁作用。`full` 包含所有内容(49 个)。 ## 它与通用的“多合一”安全 AI 套件有何不同 - **基于 Profile 的选择性安装。** 如果你运行 SOC,请安装 `--profile blue`;如果从事测试工作,请安装 `--profile pentest`;为了合规,请安装 `--profile grc`。不要用不属于你领域的技能污染匹配器。 - **NL/EU 法规基础。** GRC 项目参考了主要的欧盟法规文本(EUR-Lex)、荷兰实施法(Cyberbeveiligingswet)以及荷兰监管机构(Autoriteit Persoonsgegevens、Rijksinspectie Digitale Infrastructuur、DNB、AFM)。不以美国为中心。 - **跨技能图谱。** 项目之间存在 443 个交接引用:`secure-coding` 是 `security-review` 的基础;`cve-triage` 跟随在 `security-review` 的扫描阶段之后;`verification-loop` 在交付前对每个输出进行红队测试;`purple-ops` 桥接了 pentest 和 blue。 - **纪律优先。** 每个渗透测试技能都停留在模式层面(没有特定版本的武器化漏洞利用——参见 *免责声明*)。每个 GRC 项目都带有“非法律建议”的免责声明。每一个 CVE / CVSS / regulatory-article 引用都会根据主要来源进行验证,并在法律当前正在发生变动的地方使用 `[verify]` 标记。 - **静态站点构建器。** 访问托管实例,选择一个 Profile 或自行策划选择,然后复制可通过 `curl | bash` 管道执行的安装命令。没有任何浏览器端的魔法;该站点完全是静态的,安装程序在本地运行。 ## 快速入门 ### 托管安装(推荐) 规范的托管实例位于 **[accans.com/skills](https://accans.com/skills)**。选择一个 Profile 并运行: ``` curl -sSL https://accans.com/skills/install.sh | bash -s -- --list-profiles curl -sSL https://accans.com/skills/install.sh | bash -s -- --profile core --dry-run curl -sSL https://accans.com/skills/install.sh | bash -s -- --profile core curl -sSL https://accans.com/skills/install.sh | bash -s -- security-review threat-modeler ir-runbook ``` 客户端需要 `curl` 和 `jq`。默认目标路径是 `$HOME/.claude`;可以使用 `--dest` 覆盖。[accans.com/skills](https://accans.com/skills) 的浏览器端构建器允许你策划自定义选择并复制相应的安装命令。 ### 本地仓库安装 ``` git clone https://github.com/roodlicht/accans-sec-skills cd accans-sec-skills ./bin/sec-install --list-profiles ./bin/sec-install --profile core --dry-run ./bin/sec-install --profile core # installs to ~/.claude ./bin/sec-install --profile full --dest .claude # repo-scoped install for testing ``` ## 工作语言 本目录完全使用英语。所有 49 个项目 —— 跨越 Core、AppSec、Pentest、Blue 和 GRC —— 都具有英文正文、英文前言描述和英文对外展示(本 README、示例、冒烟测试、贡献者文档)。 **GRC 项目在其引用和法规文本中明确保留了 NL/EU 锚点。** 这是该目录的定位 —— 在翻译工作中予以保留。NIS2、DORA、AVG、Cyberbeveiligingswet、AP、RDI、DNB、AFM 依然是主要的参考来源。只有外围的描述性文字是英文。 如果你发现遗留的荷兰语或翻译不当之处,请参阅 [CONTRIBUTING.md](CONTRIBUTING.md) —— 欢迎提交补丁。 ## 免责声明 本目录带有主观倾向。这些规则本身就是一种安全机制;它们适用于每一个项目。 - **非法律建议。** GRC 项目(`nis2`、`dora`、`gdpr-pia`、`iso27001`、`soc2`、`policy-drafter`)总结了框架并引用了主要来源。它们不构成法律建议。最终的实体分类、制裁风险暴露和合同解释需要合格的法学家或 DPO 参与。 - **仅限授权的测试活动。** Pentest 项目(`recon-agent`、`exploit-chain`、`payload-crafter`、`ad-attacks`、`web-exploit-triage`、`c2-hygiene`、`phishing-sim`、`post-exploit`、`pentest-reporter`)假定已签署了交战规则。如果没有 RoE,它们所描述的活动是不合法的。每个渗透测试项目都在顶部带有明确的仅限 RoE 的免责声明。 - **仅限模式层面。** 没有特定版本的武器化漏洞利用。没有针对已命名 CVE 的即用型 gadget chains。没有针对生产环境 EDR 的特定供应商绕过方案。本目录为你提供攻击类别和规范模式;特定于项目的武器化应保存在你客户的参与库中,而不是公开目录中。 - **绝不虚报 CVE / CVSS / 法规编号。** 每个具体的引用都必须根据主要来源(NVD、EUR-Lex、供应商公告)进行验证。当来源当前处于变动状态时(例如荷兰 Cyberbeveiligingswet 状态),项目使用 `[verify]` 标记而不是断言。 - **审计级,而非取证级。** `forensics-assist` 产生的输出适用于事件响应和审计使用。用于刑事调查的法庭级证据链需要专业的取证团队。 - **无版权侵犯。** OWASP 速查表、供应商文档及类似内容均已总结并链接,而非逐字转录。 - **不含工具。** 本目录不附带扫描器、漏洞利用或运行时服务。它只是一些以结构化实战技能引导 Claude 的文字。 这些免责声明在涉及相应边界的每个项目中都进行了完整镜像。 ## 示例 四个端到端演练,在真实场景中链接了多个项目: - [`examples/01-pre-merge-security-gate.md`](examples/01-pre-merge-security-gate.md) — `/security-gate` → `secrets-scanner` + `sast-orchestrator` + `cve-triage` → `verification-loop`。合并前编排。 - [`examples/02-nis2-readiness-audit.md`](examples/02-nis2-readiness-audit.md) — `nis2` → `iso27001` mapping → `risk-register` → `policy-drafter` → `vendor-questionnaire` → `audit-evidence`。NL/EU 为锚点的合规演练。 - [`examples/03-authorized-red-team-engagement.md`](examples/03-authorized-red-team-engagement.md) — `recon-agent` → `web-exploit-triage` → `payload-crafter` → `exploit-chain` → `post-exploit` (with `c2-hygiene`) → `pentest-reporter` → `purple-ops`。跨越整个项目的模式级纪律。 - [`examples/04-ransomware-incident-response.md`](examples/04-ransomware-incident-response.md) — `ir-runbook` → `forensics-assist` → `malware-triage` → `ioc-hunter` → `detection-engineer` → `purple-ops` (with regulatory chains to `nis2` / `gdpr-pia` / `dora`)。多监管机构的事件响应。 ### 示例演练 · NIS2 就绪性审计(NL 关键实体) ``` %%{init: {'theme':'base', 'themeVariables': {'primaryColor':'#11182d','primaryTextColor':'#cdd5e8','primaryBorderColor':'#4f7df9','lineColor':'#5b6584'}}}%% flowchart LR Start(["Customer
SaaS · 80 FTE · fintech"]) Start --> S1["nis2
scope check"] S1 --> S2["iso27001
Annex A mapping"] S2 --> S3["risk-register
ISO 27005 register"] S3 --> S4["policy-drafter
Tier-1/2 policy stack"] S4 --> S5["vendor-questionnaire
supply-chain Art 21(2)(d)"] S5 --> S6["audit-evidence
collection cadence"] S6 --> Out["Submission to RDI
+ continuous-compliance plan"] S1 -. handoff .- DORA["dora
if financial entity"] S1 -. handoff .- AVG["gdpr-pia
if personal data in scope"] style Start fill:#0a0f1f,stroke:#4f7df9,stroke-width:2px,color:#fff style Out fill:#0a0f1f,stroke:#4f7df9,stroke-width:2px,color:#fff style S1 fill:#11182d,stroke:#4f7df9,color:#cdd5e8 style S2 fill:#11182d,stroke:#5b6584,color:#cdd5e8 style S3 fill:#11182d,stroke:#5b6584,color:#cdd5e8 style S4 fill:#11182d,stroke:#5b6584,color:#cdd5e8 style S5 fill:#11182d,stroke:#5b6584,color:#cdd5e8 style S6 fill:#11182d,stroke:#5b6584,color:#cdd5e8 style DORA fill:#11182d,stroke:#5b6584,color:#7c4ff9 style AVG fill:#11182d,stroke:#5b6584,color:#7c4ff9 ``` 每个方块都是一个技能,为 Claude 提供该步骤的方法论。实线箭头 = 顺序工作流;虚线 = 基于实体分类的条件交接。完整的演练(包含每一步的示例输出)位于 [`examples/02-nis2-readiness-audit.md`](examples/02-nis2-readiness-audit.md)。 ## 冒烟测试 [`tests/smoke-test-prompts.md`](tests/smoke-test-prompts.md) 列出了 47 个提示 —— 目录中每个项目对应一个 —— 用于在 Claude 环境中手动测试匹配器。适用于验证全新安装、实质性编辑后或调查回归问题时使用。 我们目前不公布通过率。匹配器处于技能系统本身的下游,且通过率取决于 Claude 的版本。此列表的目的是让回归问题保持可见,而不是宣传一个数字。 ## 项目布局 ``` catalog.json Single source of truth — ids, names, categories, profile membership manifest.json Generated: catalog merged with on-disk frontmatter (build output) skills//SKILL.md One folder per skill, with frontmatter + markdown body (English) agents/.md One file per agent (sub-agent definition) commands/.md One file per slash command scripts/scaffold.mjs Creates files for new catalog entries (idempotent) scripts/build-manifest.mjs Scans disk → writes manifest.json → injects into web/index.html scripts/validate.mjs Validates catalog ↔ disk + frontmatter + cross-reference graph scripts/package.mjs Builds dist/ for static-site deploy .github/workflows/ci.yml Build + validate + drift-check on push/PR bin/sec-install Installer CLI for local-repo use (Node, no deps) install.sh Curl-pipeable installer (POSIX bash + curl + jq) for hosted deploy web/index.html Builder UI examples/ End-to-end walkthroughs tests/ Smoke-test prompts docs/capabilities.md Capability index — ~150 capabilities mapped to the skill that delivers them CLAUDE.md (root) Working-language editing conventions (for contributors) ``` ## 托管 规范的托管实例是 **[accans.com/skills](https://accans.com/skills)**。它作为 `accans.com` Astro 站点的一部分进行构建和部署 —— 此仓库保存目录源码,Astro 站点拉取带标签的版本,运行 `npm run package`,并在自身构建之前将生成的静态输出内联到 `public/skills/` 中。 如果你想托管自己的副本(复刻、私有部署、类漏洞赏金的内部共享): ``` # 1. 构建可部署的 dist/ # (index.html + manifest.json + install.sh + skills/ + agents/ + commands/) npm run package # 2. 上传到你的静态主机 (任何提供普通文件服务的主机均可) rsync -av --delete dist/ user@host:/var/www/example.com/ ``` 构建器 UI 通过 `new URL('.', location.href)` 自动检测其基础 URL,因此无论是子域名(`skills.example.com`)还是基于路径(`example.com/skills`)的部署,它都可以不经修改地工作。在不同的域名下自托管时,可以通过 `--base-url` 或 `SEC_INSTALL_BASE_URL` 环境变量覆盖 `install.sh` 的默认基础 URL。 ### Astro 集成(accans.com 如何拉取此内容) 供参考,以下是 accans.com 构建工作流中的相关片段: ``` - name: Clone skills catalog (pinned to a release tag) run: git clone --depth 1 --branch v0.2.2 https://github.com/roodlicht/accans-sec-skills.git /tmp/skills - uses: actions/setup-node@v6 with: { node-version: '22' } - name: Build skills static output working-directory: /tmp/skills run: | npm ci npm run check # 0 errors / 0 warnings as a deploy gate npm run package # produces /tmp/skills/dist/ - name: Inline skills into Astro public/ run: | mkdir -p public/skills cp -r /tmp/skills/dist/* public/skills/ # Astro copies public/* untouched into dist/, so /skills/ ends up # at the deployed site root as accans.com/skills/. ``` Astro 不处理 `public/*` 文件,因此目录的 `.md` 文件、`manifest.json` 和 `install.sh` 将按原样提供。 ## 添加新项目 1. 在 `catalog.json` 中添加一行,包含 `id`、`name`、`type`(`skill` / `agent` / `command`)、`cat`(`core`、`appsec`、`pentest`、`blue`、`grc` 中的一个或多个)、`profiles` 以及简短的英文 `desc`。 2. 运行 `npm run scaffold` —— 存根将出现在正确的目录下。 3. 按照 [CLAUDE.md](CLAUDE.md) 中的约定填写正文。正文使用英文;在 NL/EU 法规引用具有权威性的地方予以保留(NIS2、DORA、AVG、Cyberbeveiligingswet、AP、RDI、DNB、AFM 等)。 4. 运行 `npm run check` —— 构建清单,验证目录/磁盘一致性,并报告交叉引用图谱。 5. 在 `tests/smoke-test-prompts.md` 中添加相应的条目。 ## 状态 已提交 49 个项目。v0.1.0 发布了包含混合 NL/EN 正文的目录;v0.2.0 发布了在所有五个 Profile 中完全使用英语的目录;v0.2.x 增加了润色、Astro 框架技能和 Symfony 框架技能。CI 在每次推送和 PR 时运行 build + validate + drift-check。验证通过,0 错误,0 警告。 ## 贡献 请参阅 [CONTRIBUTING.md](CONTRIBUTING.md)。特别欢迎: - `examples/` 中的端到端演练。 - 对过时的 CVE / 框架引用的修复。 - 对构建 / 验证 / 打包管道的改进。 - 对翻译或 NL/EU 法规引用的改进。 ## 行为准则 参与此项目即表示你同意遵守 [行为准则](CODE_OF_CONDUCT.md)。 ## 安全政策 报告实战技能错误、安装程序问题或意外的凭证泄露:请参阅 [SECURITY.md](SECURITY.md)。 ## 许可证 双重许可: - **目录内容**(skills、agents、commands、examples、tests、docs、assets、JSON manifests)—— [CC BY-SA 4.0](LICENSE-CC-BY-SA-4.0)。使用、修改、再分发、翻译;衍生作品必须保持 CC BY-SA 4.0 并归属 Accans。 - **代码**(安装程序、构建/验证/打包脚本、Web 构建器、工作流)—— [Apache 2.0](LICENSE-Apache-2.0)。宽松许可,包含明确的版权保留和专利授权。 组合器请参见 [LICENSE](LICENSE),逐文件许可证分配、贡献者条款和商业使用指南请参见 [LICENSING.md](LICENSING.md)。 `Accans` 和 Accans 圆点标志不属于许可授权的一部分。 *怀揣对 NL/EU 安全社区的关怀而构建。如果你的工作依赖于某个特定项目的准确性,请在依赖它之前验证其主要来源 —— 本目录中的纪律规则(验证 CVE-IDs、主要法规来源、模式级的攻击项目、GRC 中不含法律建议)正是如此:它们是纪律规则,并非绝对正确的保证。*
标签:Active Directory攻击, AI安全助手, API安全, AppSec, AVG, CISA项目, Claude, CloudTrail, CSV导出, CVE, CVE检测, DAST, DAST, DevSecOps, Django, DORA, GDPR, GPT, GRC, Homebrew安装, HTTP工具, IOC, IP 地址批量处理, ISO 27001, JSON输出, MITM代理, Mr. Robot, NIS2, Rails, SAST, SDLC, SOC 2, Spring, Web截图, 上游代理, 中间件漏洞, 人工智能安全, 合规性, 后端开发, 威胁建模, 子域名变形, 安全代码审查, 安全基线, 安全工程, 安全开发生命周期, 安全技能, 容器安全, 库, 应急响应, 应用安全, 恶意软件分析, 恶意软件分析, 插件系统, 教学环境, 数字取证, 数字签名, 数据包嗅探, 数据展示, 模拟器, 欧盟合规, 漏洞管理, 盲注攻击, 红队, 网络安全, 网络安全审计, 网络钓鱼模拟, 自动化脚本, 荷兰合规, 防御加固, 防御绕过, 隐私保护