akshayramabhat/claude-security-kit

GitHub: akshayramabhat/claude-security-kit

为 Claude Code 提供一键式多扫描器安全审查编排、Postgres RLS 审计与 Supabase 数据 API 锁定的开源安全技能套件。

Stars: 0 | Forks: 0

# claude-security-kit [![validate](https://static.pigsec.cn/wp-content/uploads/repos/cas/8b/8bac9b2d4451308c2328a394489786931947b63f84293ce8605e6f4e04ad0860.svg)](https://github.com/akshayramabhat/claude-security-kit/actions/workflows/validate.yml) [![Works with Claude Code](https://img.shields.io/badge/works%20with-Claude%20Code-8A2BE2)](https://claude.com/claude-code) [![License: MIT](https://img.shields.io/badge/license-MIT-blue.svg)](LICENSE) **用 Vibe-coding 写好了应用?发布前先扫描一下。** `/security-scan` 会通过一个命令在你的代码库上运行所有主流的开源安全扫描器 (密钥、SAST、依赖项 CVE、容器与 IaC 配置错误,以及 恶意包),随后将大量原始噪音分类整理成一份已排好优先级的、真实的 报告。无需新的 SaaS,无需账号,无需遥测。所使用的扫描器都是你已经在用的 值得信赖的工具;本项目仅仅是对它们进行编排,并让输出的结果变得可用。 它还附带了一个 Postgres 行级安全(Row-Level Security)审计工具和一个数据 API 锁定套件。 ## 工作原理 ``` flowchart LR A["/security-scan"] --> B{detect
ecosystems} B --> C["check installed scanners
(ask before installing)"] C --> D["run: gitleaks, trufflehog,
semgrep, trivy, osv-scanner,
pip-audit, bandit, guarddog, hadolint"] D --> E["triage:
dedup, rank, fix,
false-positive notes"] E --> F["security-scan-report.md
+ honest coverage gaps"] ``` ## 快速开始 将此代码库添加到你的 Claude Code 插件中,然后运行该 skill: ``` /security-scan ``` 该 skill 会检测你的技术栈,运行扫描器,并生成 `security-scan-report.md`。首次运行时,它会检查已安装的扫描器, 并提议通过一步操作安装任何缺失的扫描器,使用你已有的任何包 管理器(Homebrew、pipx、你的发行版管理器,或者 Docker,如有需要它还会 自动引导安装 pipx)。没有这个单一的确认就不会安装任何内容, 因此你不需要事先手动安装扫描器。 ## 它能检测到什么 一次扫描即可覆盖五个攻击面,且没有重复噪音: | 攻击面 | 工具 | |---|---| | 密钥(广泛扫描 + 已验证) | gitleaks, trufflehog | | 代码漏洞 (SAST) | semgrep, bandit (Python) | | 依赖项 CVE | trivy, osv-scanner, pip-audit, npm/pnpm/yarn audit | | 容器 + IaC 配置错误 | trivy, hadolint | | 恶意 / 域名抢注包 | guarddog | 可选标志会添加 OpenSSF Scorecard (`--scorecard`)、Checkov (`--checkov`) 和 Grype+Syft (`--grype`)。CodeQL 被有意排除在外;其许可证不属于 OSI 开源许可。完整的工具列表、安装命令和许可证: [`skills/security-scan/reference.md`](skills/security-scan/reference.md)。 ## 报告示例 ``` ## 总结 No findings from the tools that ran. Coverage is partial: 6 of 8 in-scope tools were skipped because they are not installed. This is NOT a clean bill of health. ## 运行的工具 - trivy 0.x (scanners: secret, misconfig) ## 跳过的工具(未安装) - gitleaks secrets + git history install: brew install gitleaks - trufflehog verified secrets install: brew install trufflehog - ... ## Coverage gaps No SAST, no dependency CVE scan, and no malicious-package check were performed. Install the skipped tools and re-run before treating this repo as scanned. ``` 当有工具被跳过时,该套件绝不会声称代码库是安全的。它会报告运行了什么, 跳过了什么,以及由此留下的未检查项。 ## 还包括:Postgres RLS 锁定套件 泄露数据库的一个常见原因是过度暴露的 Supabase 或 Postgres Data API, 其中的行级安全(RLS)被关闭或被静默配置错误。该套件包含: - **`rls-policy-reviewer` agent**:一个只读审计工具,可在发布前捕获迁移中缺失或 损坏的 RLS。 - **`templates/rls/`**:适用于五个所有权层级的可复制粘贴策略模板,外加一个 `verify.sql`。 - **[`docs/supabase-data-api-lockdown.md`](docs/supabase-data-api-lockdown.md)**: 一份关于 RLS 静默失败的三种方式及其修复方法的厂商中立指南。 ## 前置条件与许可证 扫描器是外部二进制文件。该 skill 会在首次运行时检查它们, 并提议通过一个批量步骤安装任何缺失的工具,自动适应你实际拥有的包 管理器(brew、pipx、发行版管理器或 Docker),而不是假设你拥有其中某一个, 但未经你的确认绝不会进行安装。每个工具保留其各自的 许可证: | 工具 | 许可证 | | 工具 | 许可证 | |---|---|---|---|---| | gitleaks | MIT | | guarddog | Apache-2.0 | | trufflehog | AGPL-3.0 | | hadolint | GPL-3.0 | | semgrep | LGPL-2.1 | | OpenSSF Scorecard | Apache-2.0 | | trivy | Apache-2.0 | | Checkov | Apache-2.0 | | osv-scanner | Apache-2.0 | | Grype / Syft | Apache-2.0 | | pip-audit | Apache-2.0 | | bandit | Apache-2.0 | 在安装任何内容之前,该 skill 会准确向你展示它将要运行的内容:每个 工具的发布者、精确的 `brew` 或 `pipx` 命令,以及指向其源码的链接,以便 你可以对其进行审计。它仅通过你现有的包管理器进行安装,绝不会 将脚本管道传输到你的 shell 中,并且你始终可以选择自己运行这些命令 作为替代。使用 ` --version` 确认任何工具。每个扫描器的发布者和 源码都列在 [`skills/security-scan/reference.md`](skills/security-scan/reference.md) 中。 此套件仅调用已安装的二进制文件。它不会重新分发或链接任何 扫描器,因此上述的 AGPL、LGPL 和 GPL 工具不会影响其自身的 MIT 许可证。 运行第三方扫描器本身就是一个小型的供应链攻击面,因此请尽可能固定工具 版本。扫描代表的是时间点的快照,而非绝对的保证。 ## 贡献 欢迎提交 Issue 和 PR。请参阅 [CONTRIBUTING.md](CONTRIBUTING.md)。 ## 许可证 MIT。
标签:Cutter, Postgres RLS, SAST, 依赖安全, 安全专业人员, 盲注攻击, 防御加固