markusweldon/claude-owasp-security-skills

# Claude Code 的 OWASP 安全技能 [](LICENSE) [](https://owasp.org/Top10/) [](https://github.com/OWASP/ASVS) [](https://genai.owasp.org/) [](https://genai.owasp.org/) [](https://owasp.org/API-Security/) [](https://owasp.org/www-project-mobile-top-10/) [](https://owasp.org/www-project-top-10-ci-cd-security-risks/) ## 这是什么 五项专注的 [Claude Code 技能](https://docs.anthropic.com/en/docs/claude-code/skills)，在你进行相关工作时会自动激活——为 Claude 提供当前 OWASP 标准的完整上下文，而无需你刻意记得去提问。 每项技能都是专门构建的，并保持在 Claude Code 的压缩窗口（约 5,000 个 token）内，因此指导内容在长会话中也能得以保留。 | 技能 | 标准 | 激活条件... | |-------|-----------|-------------------| | `owasp-web` | Top 10:2025, ASVS 5.0 | 审查 Web 应用代码、认证、输入处理，支持 20 多种语言 | | `owasp-api` | API Security Top 10:2023 | 构建 REST/GraphQL API，预防 SSRF，处理 JWT、速率限制 | | `owasp-mobile` | Mobile Top 10:2024 | iOS/Android/React Native/Flutter 开发 | | `owasp-llm` | LLM Top 10:2025, Agentic:2026 | 构建聊天机器人、RAG、代理、MCP 服务器、函数调用 | | `owasp-cicd` | CI/CD Security Top 10 | GitHub Actions、Dockerfiles、IaC、依赖管理 | ## 快速安装 ### 项目级别（推荐团队使用） ``` # 所有 5 个 skills curl -sL https://raw.githubusercontent.com/markusweldon/claude-owasp-security-skills/main/install.sh | bash # 或安装单个 skills： curl -sL https://raw.githubusercontent.com/markusweldon/claude-owasp-security-skills/main/.claude/skills/owasp-web/SKILL.md \ -o .claude/skills/owasp-web/SKILL.md --create-dirs curl -sL https://raw.githubusercontent.com/markusweldon/claude-owasp-security-skills/main/.claude/skills/owasp-api/SKILL.md \ -o .claude/skills/owasp-api/SKILL.md --create-dirs curl -sL https://raw.githubusercontent.com/markusweldon/claude-owasp-security-skills/main/.claude/skills/owasp-llm/SKILL.md \ -o .claude/skills/owasp-llm/SKILL.md --create-dirs curl -sL https://raw.githubusercontent.com/markusweldon/claude-owasp-security-skills/main/.claude/skills/owasp-mobile/SKILL.md \ -o .claude/skills/owasp-mobile/SKILL.md --create-dirs curl -sL https://raw.githubusercontent.com/markusweldon/claude-owasp-security-skills/main/.claude/skills/owasp-cicd/SKILL.md \ -o .claude/skills/owasp-cicd/SKILL.md --create-dirs ``` ### 全局安装（你的所有项目） ``` curl -sL https://raw.githubusercontent.com/markusweldon/claude-owasp-security-skills/main/install.sh | bash -s -- --global ``` ### 克隆并手动安装 ``` git clone https://github.com/markusweldon/claude-owasp-security-skills.git cd claude-owasp-security-skills bash install.sh # project-level bash install.sh --global # global (~/.claude/skills/) bash install.sh --skill owasp-llm # single skill only ``` ## 各项技能涵盖的内容 ### `owasp-web` — Web 应用安全 - OWASP Top 10:2025 快速参考 + 预防模式 - 安全代码审查清单（输入、认证、访问控制、数据、错误） - 针对 SQL 注入、命令注入、密码存储、访问控制、失败即关闭（fail-closed）错误处理的安全与不安全代码模式 - ASVS 5.0 验证级别（L1/L2/L3） - 针对 **JavaScript, Python, Java, C#, PHP, Go, Ruby, Rust, C/C++, Shell, SQL** 的特定语言安全陷阱（技能中包含 10 种语言；`docs/` 中还有 10 种） - 深度安全分析思维清单 ### `owasp-api` — API 安全 - 全面覆盖 OWASP API Security Top 10:2023 - BOLA/IDOR 预防、批量赋值缓解 - 阻断内部 IP 范围的 SSRF 预防 - JWT 安全：算法锁定、声明验证、存储 - 特定于 GraphQL 的风险：深度限制、复杂度、自省 - 速率限制模式、API 版本控制与资产盘点清单 ### `owasp-mobile` — 移动端安全 - 全面覆盖 OWASP Mobile Top 10:2024 - **iOS**：Keychain 存储、ATS 配置、证书锁定、越狱检测、屏幕遮蔽 - **Android**：Keystore/EncryptedSharedPreferences、清单文件加固、SafetyNet/Play Integrity、ProGuard - **Flutter/Dart**：flutter_secure_storage、安全通信 - **React Native**：AsyncStorage 陷阱、Hermes 调试器、Deep link 验证 - 适用于 URLSession 和 OkHttp 的证书锁定代码 - 隐私控制：日志中的 PII、后台屏幕遮蔽、权限 ### `owasp-llm` — LLM 与 AI 代理安全 - OWASP LLM Top 10:2025：提示词注入、输出处理、过度代理、系统提示词泄露、向量存储隔离、无限制消耗 - OWASP Agentic AI 2026：目标劫持、工具滥用、代理间通信、级联故障、恶意代理 - 结合结构化角色的提示词注入防御模式 - 在执行 SQL/shell/HTML/工具调用前安全处理 LLM 输出 - RAG/向量存储的多租户隔离 - 调用 LLM 前清洗 PII - 对代理生成的代码进行沙盒执行 - 代理身份验证与终止开关模式 ### `owasp-cicd` — CI/CD 与供应链安全 - 全面覆盖 OWASP CI/CD Security Top 10 - GitHub Actions 加固：SHA 锁定的 actions、最小化的 `permissions:` 块、OIDC 与静态密钥对比 - Docker 安全：锁定的摘要、非 root 用户、多阶段构建 - 带有哈希验证的依赖锁定（`npm ci`, `--require-hashes`） - 使用 Sigstore/cosign 进行制品签名 + 生成 SBOM - 分支保护配置参考 - Terraform/IaC 安全：`tfsec`/`checkov`、状态文件加密、`.tfvars` 中不包含密钥 - Webhook HMAC 验证、第三方服务治理 ## 使用示例 安装完成后，技能会自动激活。你无需显式调用它们。 ``` "Review this Express.js authentication middleware for security issues" → owasp-web activates "Is this GraphQL resolver vulnerable to BOLA?" → owasp-api activates "Check my GitHub Actions workflow for security problems" → owasp-cicd activates "Is my RAG pipeline safe from prompt injection?" → owasp-llm activates "Review this Swift Keychain implementation" → owasp-mobile activates ``` 你也可以显式调用技能： ``` /owasp-web /owasp-api /owasp-mobile /owasp-llm /owasp-cicd ``` ## 标准覆盖范围 | 标准 | 版本 | 发布时间 | |----------|---------|---------| | OWASP Top 10 | 2025 | 2025 年 4 月 | | OWASP ASVS | 5.0.0 | 2025 年 5 月 | | OWASP Top 10 for LLM Applications | 2025 | 2025 | | OWASP Top 10 for Agentic Applications | 2026 | 2025 年 12 月 | | OWASP API Security Top 10 | 2023 | 2023 | | OWASP Mobile Top 10 | 2024 | 2024 | | OWASP Top 10 CI/CD Security Risks | 2022 | 2022 | ## 设计：为什么是 5 项技能而不是 1 项？ Claude Code 在面临上下文压力时会压缩技能，仅保留每项已激活技能的**前约 5,000 个 token**。如果是一个庞大的单文件 SKILL.md，在长会话中会丢失其末尾内容——而这正是安全指导最关键的时候。 五项专注的技能意味着： - 每项技能都能适应 5,000 个 token 的保留窗口 - 只有相关的技能会被激活（进行后端工作时不会触发移动端技能） - 可以选择性安装技能——对于 AI 项目，只需安装 `owasp-llm` - 描述保持在每项技能 1,536 个字符的限制内，以确保准确触发 ## 仓库结构 ``` .claude/skills/ ├── owasp-web/SKILL.md # Web app security (Top 10:2025, ASVS 5.0) ├── owasp-api/SKILL.md # API security (API Top 10:2023) ├── owasp-mobile/SKILL.md # Mobile security (Mobile Top 10:2024) ├── owasp-llm/SKILL.md # LLM + agentic AI security └── owasp-cicd/SKILL.md # CI/CD + supply chain security docs/ └── language-security-reference.md # Extended language quirks (10+ more languages) install.sh # Installer script ``` ## 来源 - [OWASP Top 10:2025](https://owasp.org/Top10/) - [OWASP ASVS 5.0](https://github.com/OWASP/ASVS) - [OWASP Top 10 for LLM Applications 2025](https://genai.owasp.org/llm-top-10/) - [OWASP Top 10 for Agentic Applications 2026](https://genai.owasp.org/) - [OWASP API Security Top 10:2023](https://owasp.org/API-Security/) - [OWASP Mobile Top 10:2024](https://owasp.org/www-project-mobile-top-10/) - [OWASP Top 10 CI/CD Security Risks](https://owasp.org/www-project-top-10-ci-cd-security-risks/) - [OWASP Cheat Sheet Series](https://cheatsheetseries.owasp.org/) - [NIST SP 800-63b](https://pages.nist.gov/800-63-3/) ## 许可证 MIT — 见 [LICENSE](LICENSE)。 *灵感来源于 [agamm/claude-code-owasp](https://github.com/agamm/claude-code-owasp)。增强了 API、移动端、CI/CD 覆盖范围，采用了多技能架构，并更新了 2024/2025/2026 年标准。*

标签：AI插件, Claude Code, CSP, Cutter, 代码安全审查, 安全标准, 防御加固