Consultora-AMDT/claude-github-security-audit

# 🔍 GitHub 安全审计 — 一项 Claude 技能 [](LICENSE) [](CHANGELOG.md) [](#languages) [](https://github.com/trailofbits) 🇬🇧 [English](#english) · 🇪🇸 [Español](#español) ## English ### 功能介绍 当你要求 Claude 审计一个 GitHub 仓库时（例如 *"audit repo https://github.com/owner/name"*），此 Skill 会在推荐集成之前，通过**七个维度**进行系统性、基于数据的风险评估： | # | 维度 | 权重 | |---|-----------|-------:| | 1 | 项目健康状况 (stars, forks, 提交频率, 贡献者, releases, README, CI) | 20% | | 2 | 代码安全性 (密钥, 依赖项, 动态执行, 不安全的默认设置, Actions) | 25% | | 3 | 供应链 (维护者身份, 资金, 安全历史记录, 签名, 代码审查) | 20% | | 4 | 代码质量 (测试, 类型, 文档, 错误处理, 日志) | 10% | | 5 | 许可证及法律兼容性 | 10% | | 6 | MCP / Plugin / Skill 攻击面 (适用时) | 15% | | 7 | 外部信任信号 (审计, CVEs, 提及) | 额外加分 +5 | 该 Skill 还强制执行**第 0 步需求门槛** —— 在审计之前，你需要决定是否真的需要这个仓库。如果你的技术栈已经涵盖了该问题，结论将是 `SKIP`。无需审计，不浪费时间。 ### 存在原因 大多数 AI 辅助的“我应该使用这个仓库吗？”的回答都是基于直觉的。此 Skill 用以下内容取代了直觉： - 固定的清单（不跳过枯燥的内容） - 带有记录阈值的数值评分 - **一票否决规则**，可绕过评分（无许可证 → 无论有多少 stars，都自动判定为 AVOID） - 一份*应拒绝的合理化借口*列表（受 Trail of Bits 启发）：“它是开源的所以很安全”、“它有很多 stars”、“X 公司在使用它”——所有这些都被标记为无效证据 ### 安装说明 #### Claude.ai (Web) 1. 前往 **Settings → Capabilities → Skills** 2. 点击 **+ New skill** 3. 上传 `en/github-security-audit/` 文件夹（或西班牙语的 `es/` 文件夹） #### Claude Desktop UI 与 Claude.ai 相同，或者将文件夹拖放至： ``` ~/Library/Application Support/Claude/skills/github-security-audit/ (macOS) %APPDATA%\Claude\skills\github-security-audit\ (Windows) ``` #### Claude Code (CLI) ``` mkdir -p ~/.claude/skills/github-security-audit cp -r en/github-security-audit/* ~/.claude/skills/github-security-audit/ ``` ### 运行 Naabu 安装完成后，只需用自然语言向 Claude 提问： ``` audit repo https://github.com/owner/repo-name ``` 要进行更快的快速分类（仅限阶段 0+1+2）： ``` audit repo quick https://github.com/owner/repo-name ``` 该 Skill 将生成一份 HTML 报告并保存到你的输出目录，其中包含： - 执行摘要（3-5 句话） - 7 个维度的雷达图 - 各阶段发现的问题表格 - 严重问题（如果有） - 最终结论：**ADOPT 🟢 / EVALUATE 🟡 / CAUTION 🟠 / AVOID 🔴** - 技术栈对比：现有工具有哪些涵盖了类似功能？ ### 结论标准 | 分数 | 结论 | 含义 | |-------|---------|---------| | ≥ 7.5 | **ADOPT** 🟢 | 放心集成。监控更新。 | | 5.0–7.4 | **EVALUATE** 🟡 | 谨慎集成。记录已接受的风险。90 天后重新审查。 | | 3.0–4.9 | **CAUTION** 🟠 | 仅在无替代方案时使用。进行隔离。在生产前进行深度审计。 | | < 3.0 | **AVOID** 🔴 | 切勿集成。寻找替代方案。 | ### 一票否决规则（这些规则会绕过数值评分） - ❌ **无许可证** → 自动 AVOID（默认版权 = 无使用许可） - ❌ **AGPL / SSPL** → 在 SaaS 使用中自动 AVOID - ❌ **仓库或 git 历史记录中存在硬编码的密钥** → 自动 AVOID - ⚠️ **唯一维护者 + 最后一次提交时间超过 1 年** → 最高为 CAUTION - ❌ **MCP/plugin 中存在未经处理的动态执行** → 自动 AVOID ### 仓库结构 ``` . ├── en/ ← English version of the skill │ └── github-security-audit/ │ ├── SKILL.md ← orchestrator (what and when) │ └── references/ ← detailed how-to (loaded on demand) │ ├── health-scoring.md │ ├── security-patterns.md │ └── supply-chain-signals.md ├── es/ ← Versión española del skill │ └── github-security-audit/ │ └── (same structure) ├── examples/ │ └── example-report.md ← sample audit output ├── README.md ├── LICENSE ← MIT ├── CONTRIBUTING.md ├── CHANGELOG.md └── .gitignore ``` ### 灵感与致谢 此 Skill 极大地借鉴了 [Trail of Bits](https://www.trailofbits.com/) 的公共安全框架，特别是： - `supply-chain-risk-auditor` —— 系统化的供应链分析框架 - `insecure-defaults` —— 故障安全与故障开放原则 - `sharp-edges` —— “应拒绝的合理化借口”列表模式 - `agentic-actions-auditor` —— MCP/plugin 攻击面检查清单 由 [AMDT](https://evenmoredifficult.com/) 构建和维护 —— 这是一家数字营销和 SEO/AIO 咨询公司，广泛使用 Claude Skills 进行机构级工作。 ### 许可证 [MIT](LICENSE) —— 随意使用、分支、发布。欢迎注明出处，但不作硬性要求。 ### 发现 Bug 或有反馈？ 请提交一个 issue，附上你正在审计的仓库 URL 以及你期望的结论与实际得到的结论对比。现实世界中的失败案例是最有价值的参考。 ## Español ### 功能介绍 当你要求 Claude 审计一个 GitHub 仓库时（例如 *"audit repo https://github.com/owner/name"*），此 Skill 会在推荐集成之前，通过**七个维度**进行系统性、基于数据的风险评估： | # | 维度 | 权重 | |---|-----------|-----:| | 1 | 项目健康状况 (stars, forks, 提交频率, 贡献者, releases, README, CI) | 20% | | 2 | 代码安全性 (密钥, 依赖项, 动态执行, 不安全的默认设置, Actions) | 25% | | 3 | 供应链 (维护者身份, 资金, 安全历史记录, 签名, 代码审查) | 20% | | 4 | 代码质量 (测试, 类型, 文档, 错误处理, 日志) | 10% | | 5 | 许可证及法律兼容性 | 10% | | 6 | MCP / Plugin / Skill 攻击面 (适用时) | 15% | | 7 | 外部信任信号 (审计, CVEs, 提及) | 额外加分 +5 | 该 Skill 还强制执行**第 0 步需求门槛**：在审计之前，由你决定是否真的需要这个仓库。如果你的技术栈已经涵盖了该问题，结论将是 `SKIP`。无需审计，不浪费时间。 ### 存在原因 大多数 AI 辅助的“我应该使用这个仓库吗？”的回答都是基于直觉的。此 Skill 用以下内容取代了直觉： - 固定的检查清单（不跳过枯燥的步骤） - 带有记录阈值的数值评分 - **一票否决规则**，可绕过评分（无许可证 → 无论有多少 stars，都自动判定为 AVOID） - 一份*应拒绝的合理化借口*列表（受 Trail of Bits 启发）：“它是开源的所以很安全”、“它有很多 stars”、“X 公司在使用它”——所有这些都被标记为无效证据 ### 安装说明 #### Claude.ai (Web) 1. 前往 **Settings → Capabilities → Skills** 2. 点击 **+ New skill** 3. 上传 `es/github-security-audit/` 文件夹（或英文的 `en/` 文件夹） #### Claude Desktop UI 与 Claude.ai 相同，或者将文件夹复制至： ``` ~/Library/Application Support/Claude/skills/github-security-audit/ (macOS) %APPDATA%\Claude\skills\github-security-audit\ (Windows) ``` #### Claude Code (CLI) ``` mkdir -p ~/.claude/skills/github-security-audit cp -r es/github-security-audit/* ~/.claude/skills/github-security-audit/ ``` ### 使用方法 安装完成后，只需用自然语言向 Claude 提问： ``` audit repo https://github.com/owner/repo-name ``` 要进行更快的快速分类（仅限阶段 0+1+2）： ``` audit repo quick https://github.com/owner/repo-name ``` 该 Skill 将生成一份 HTML 报告并保存到你的输出目录，其中包含： - 执行摘要（3-5 句话） - 7 个维度的雷达图 - 各阶段发现的问题表格 - 严重问题（如果有） - 最终结论：**ADOPT 🟢 / EVALUATE 🟡 / CAUTION 🟠 / AVOID 🔴** - 技术栈对比：现有工具有哪些涵盖了类似功能？ ### 结论标准 | 分数 | 结论 | 含义 | |-------|-----------|-------------| | ≥ 7,5 | **ADOPT** 🟢 | 放心集成。监控更新。 | | 5,0–7,4 | **EVALUATE** 🟡 | 谨慎集成。记录已接受的风险。90 天后重新审查。 | | 3,0–4,9 | **CAUTION** 🟠 | 仅在无替代方案时使用。进行隔离。在生产前进行深度审计。 | | < 3,0 | **AVOID** 🔴 | 切勿集成。寻找替代方案。 | ### 一票否决规则（会绕过数值评分） - ❌ **无许可证** → 自动 AVOID（默认版权 = 无使用许可） - ❌ **AGPL / SSPL** → 在 SaaS 使用中自动 AVOID - ❌ **仓库或 git 历史记录中存在硬编码的密钥** → 自动 AVOID - ⚠️ **唯一维护者 + 最后一次提交时间超过 1 年** → 最高为 CAUTION - ❌ **MCP/plugin 中存在未经安全处理的动态执行** → 自动 AVOID ### 灵感与致谢 此 Skill 大量借鉴了 [Trail of Bits](https://www.trailofbits.com/) 的公共安全框架，特别是： - `supply-chain-risk-auditor` —— 系统化的供应链分析框架 - `insecure-defaults` —— 故障安全与故障开放原则 - `sharp-edges` —— “应拒绝的合理化借口”模式 - `agentic-actions-auditor` —— MCP/plugin 攻击面检查清单 由 [AMDT)](https://aunmasdificiltodavia.es/) 构建和维护 —— 这是一家数字营销和 SEO/AIO 咨询公司，广泛使用 Claude Skills 进行机构级工作。 ### 许可证 [MIT](LICENSE) —— 随意使用、分支、发布。欢迎注明出处，但不作硬性要求。 ### 发现 Bug 或有反馈？ 请提交一个 issue，附上你正在审计的仓库 URL 以及你期望的结论与实际得到的结论对比。现实世界中的失败案例是最有价值的参考。 _{Made with care · Issues and PRs welcome · Stars don't measure security, but they do help others find this}

标签：Claude, CVE, CVE检测, DevSecOps, MCP, 上游代理, 云安全监控, 代码安全, 依赖安全, 多模态安全, 安全评分, 对称加密, 开源项目评估, 数字签名, 数据管道, 漏洞枚举, 网络安全, 自动化审计, 许可证合规, 软件工程, 软件开发, 防御加固, 隐私保护, 静态分析, 项目健康度