dungnotnull/smart-contract-code-security-audit

GitHub: dungnotnull/smart-contract-code-security-audit

一款基于 Claude Code 的生产级安全审计技能,通过映射 SWC/CWE/OWASP 等权威标准来识别智能合约与源代码漏洞并提供优先修复路线图。

Stars: 2 | Forks: 0

# 智能合约 / 源代码安全审计 [![License: MIT](https://img.shields.io/badge/License-MIT-yellow.svg)](https://opensource.org/licenses/MIT) [![Cluster: software-devops](https://img.shields.io/badge/Cluster-software--devops-green)](https://skills.smartcontract.dev) 一款生产级的 Claude Code 技能,用于审计智能合约和源代码中的漏洞,将发现的问题映射到 SWC/CWE/OWASP 标准,并提供严重性评分和优先修复建议。 ## 概述 该技能为以下内容提供系统的、基于框架的安全审计: - 智能合约(Solidity、Rust、Vyper 等) - Web 应用程序和 API - 软件供应链和依赖项 - 通用源代码安全评估 它以研究为先导,将每一个判断都建立在世界知名框架(SWC Registry、OWASP、CWE/CVSS)的基础之上,同时通过自动化网络爬虫不断更新其知识库。 ## 功能 - **基于框架的分析**:使用公认的安全标准(SWC、OWASP、CWE/CVSS) - **多维度评分**:五个带有证据支持评分的加权维度 - **优先级路线图**:根据工作量/影响程度排序的修复建议 - **优雅降级**:在需要时可离线使用缓存的知识 - **自我改进**:通过自动化爬虫每周更新知识 - **生产就绪**:全面的测试、质量门禁和文档 ## 安装 ### 要求 - Claude Code CLI(最新版本) - Python 3.8+(用于知识更新工具) - 可选:crawl4ai 库,用于实时知识更新 ### 设置 1. **克隆或下载此技能目录:** git clone https://github.com/yourusername/smart-contract-code-security-audit.git cd smart-contract-code-security-audit 2. **安装可选依赖项(用于知识更新):** pip install crawl4ai 3. **验证安装:** ls skills/ # 应显示:main.md, sub-*.md 文件 ## 用法 ### 基本用法 通过要求 Claude Code 审计您的代码来触发该技能: ``` Audit this withdraw() function for security issues ``` ``` Review this smart contract for reentrancy vulnerabilities ``` ``` Check my package.json for security risks ``` ### 高级用法 **指定框架:** ``` Audit this contract using SWC and CWE frameworks ``` **关注领域:** ``` Analyze the access control mechanisms in this contract ``` **范围定义:** ``` Review only the external call functions for vulnerabilities ``` ### 示例工作流 1. **收集**:如果缺少上下文,技能会提出有针对性的问题 2. **框架选择**:选择适当的安全标准 3. **研究**:收集最新证据(或使用缓存知识) 4. **评分**:应用带有引用的多维度评估规则 5. **挑战**:测试假设并评估确定性 6. **路线图**:生成优先修复计划 7. **综合**:生成专业的审计报告 ## 文档 ### 核心文档 - **[PROJECT-detail.md](PROJECT-detail.md)**:完整技术规范 - **[PROJECT-DEVELOPMENT-PHASE-TRACKING.md](PROJECT-DEVELOPMENT-PHASE-TRACKING.md)**:开发阶段跟踪 - **[CLAUDE.md](CLAUDE.md)**:技能行为指南 - **[SECOND-KNOWLEDGE-BRAIN.md](SECOND-KNOWLEDGE-BRAIN.md)**:领域知识库 ### 技能结构 ``` smart-contract-code-security-audit/ ├── skills/ │ ├── main.md # Main harness │ ├── sub-intake.md # Intake & context gathering │ ├── sub-framework-selector.md # Framework selection │ ├── sub-scoring-engine.md # Scoring engine │ └── sub-improvement-roadmap.md # Remediation roadmap ├── tools/ │ └── knowledge_updater.py # Self-improving knowledge pipeline ├── tests/ │ └── test-scenarios.md # Test scenarios ├── SECOND-KNOWLEDGE-BRAIN.md # Domain knowledge base ├── PROJECT-detail.md # Technical specification ├── PROJECT-DEVELOPMENT-PHASE-TRACKING.md ├── CLAUDE.md # Skill guidelines └── README.md # This file ``` ## 支持的框架 | 框架 | 用途 | 覆盖范围 | |---|---|---| | SWC Registry | 智能合约弱点 | Ethereum, Solana, 通用区块链 | | OWASP/ASVS | Web 应用程序安全 | API、Web 应用、传统软件 | | CWE/CVSS v4 | 通用弱点分类 | 所有软件类型 | | SANS Top 25 | 最危险的弱点 | 通用软件安全 | | STRIDE | 威胁建模 | 系统性威胁分析 | ## 评分模型 该技能从五个维度评估代码: | 维度 | 权重 | 评估内容 | |---|---|---| | 严重漏洞 | 30% | 重入、访问控制、资金损失 | | 弱点覆盖率 | 20% | SWC/CWE 注册表对齐 | | 严重性与可利用性 | 20% | 基于 CVSS 的评分 | | 依赖项与供应链 | 15% | 易受攻击的库、许可 | | 修复质量 | 15% | 可操作的、经验证的修复 | **总体评级:** - A (90-100):生产就绪 - B (75-89):总体良好 - C (60-74):需要修复 - D (0-59):不建议使用 ## 输出格式 每次审计都会生成一份结构化报告: 1. **执行摘要**:总体评级和核心发现 2. **背景与范围**:评估参数和所选框架 3. **维度评分**:带有引用证据的详细评分 4. **发现与风险**:包含严重性和可利用性的分析 5. **改进路线图**:按优先级、工作量/影响排序的操作 6. **限制与确定性**:证据质量和假设 7. **来源**:完整的引用列表 ## 知识更新 该技能通过以下方式保持最新的知识库: ### 自动更新 ``` # 手动运行 python tools/knowledge_updater.py # 或者设置每周 cron 0 2 * * 0 /usr/bin/python3 /path/to/tools/knowledge_updater.py ``` ### 更新来源 - ArXiv cs.CR(最新安全研究) - SWC Registry(智能合约漏洞) - OWASP(Web 安全标准) - CWE/CVE 数据库(已知漏洞) - Consensys Diligence(最佳实践) ## 测试 测试场景在 [tests/test-scenarios.md](tests/test-scenarios.md) 中定义: 1. **重入检测**:提款函数审计 2. **访问控制**:管理员函数审查 3. **依赖项风险**:包清单分析 4. **授权上下文**:内部渗透测试框架 5. **降级模式**:离线操作测试 ## 质量保证 在发布之前,所有代码都需通过: 1. **代码审查**:Superpowers code-reviewer 代理验证 2. **测试通过**:所有测试场景均正确执行 3. **干净启动**:无错误或警告 4. **文档**:所有更改都记录在开发日志中 ## 许可证 MIT 许可证 - 有关详细信息,请参阅 [LICENSE](LICENSE) 文件。 ## 引用 如果您在工作中使用了此技能: ``` Security Audit for Smart Contracts / Source Code (Skill #140). Cluster: software-devops. Version 1.0.0. https://github.com/yourusername/smart-contract-code-security-audit ``` ## 致谢 构建基于: - **SWC Registry**,用于智能合约弱点分类 - **OWASP**,用于 Web 安全标准 - **MITRE/CWE**,用于漏洞分类 - **ConsenSys Diligence**,用于最佳实践 - Claude Code 社区,用于技能框架 ## 版本历史 - **v1.0.0** (2026-07-02):首次生产版本 - 完整的测试套件实现 - 所有 5 个子技能均可运行 - 知识流水线功能正常 - 测试场景已验证 - 文档完整 ## 支持 如有问题、疑问或贡献: - 在 GitHub 上开启一个 issue - 查看现有文档 - 查看测试场景以获取示例 ## 路线图 计划的未来增强功能: - 支持更多语言(Solana 的 Vyper、Rust) - 更多框架集成 - 增强的工具自动化 - 实时威胁情报源 - 协作审计功能 **使用 Claude Code 构建** — https://claude.com/claude-code *一款用于基于世界知名框架进行系统性安全审计的生产就绪技能。*
标签:CISA项目, Go语言工具, LLM插件, 云安全监控, 文档安全, 智能合约, 逆向工具, 配置错误, 静态分析