Rootx202/appsec-skills
GitHub: Rootx202/appsec-skills
为 Claude Code 提供 15 个即插即用的应用安全审计技能,在代码上线前自动发现、分类并修复漏洞。
Stars: 1 | Forks: 0
# 🛡️ Claude Code 的 AppSec Skills
**15 个即插即用的安全技能,让 Claude Code 摇身一变成为应用安全工程师 —— 在代码上线生产环境之前,完成审计、加固和修复。**
别再让漏洞流入生产环境了。将这些技能添加到 Claude Code 中,即可按需获得基于证据、符合 OWASP 标准的安全审查 —— 适用于任何语言、任何框架、任何项目。
## 为什么会有这个项目
大多数“AI 代码审查”只是套着精美包装的 linter。但这个项目截然不同:每一项技能都封装了高级 AppSec 工程师所遵循的实际方法论 —— 追踪数据流、用证据证明漏洞的存在、根据 CWE/OWASP 对严重性进行分类、提出不会破坏现有功能的修复方案,并重新验证。没有猜测。没有泛泛而谈的建议。更没有为了显得详尽而在报告中注水的误报。
这里的每一项技能都**严格用于防御**。它们的存在是为了帮助你保护自己拥有或被授权开发的应用程序 —— 绝不是为了构建攻击工具或测试不属于你的系统。
## 包含哪些内容
| 技能 | 功能 |
|---|---|
| 🔍 `code-audit` | 全代码库安全审计 —— 适用于任何语言和框架 |
| 📋 `vulnerability-scanner` | 结构化的 OWASP Top 10 评估,包含严重性评级 |
| ⚡ `secure-review` | 对单个 PR/diff 进行快速合并前审查 |
| 🔐 `authentication-security` | 身份验证、会话、JWT、OTP、OAuth —— 深度剖析 |
| 🌐 `api-security` | REST/GraphQL/Webhook 安全、速率限制、CORS |
| 🗄️ `database-security` | SQL/NoSQL 注入、RLS 策略、权限审计 |
| 🎨 `frontend-security` | React/Next.js/Vue —— CSP、XSS、server actions、hydration |
| ⚙️ `backend-security` | Node/Express/NestJS/FastAPI/Django/Flask/Spring/Rails |
| ☁️ `cloud-security` | Vercel/AWS/Azure/GCP/Supabase 配置审查 |
| 📦 `dependency-security` | npm/pip/composer/gradle/cargo CVE 扫描 |
| 🦠 `malware-analysis` | 对已存在的可疑文件/包进行防御性分类处理 |
| 🔑 `secrets-detection` | 查找暴露的 API key、token 和凭证 |
| 🎯 `penetration-testing` | 渗透测试风格的评估计划(仅限于分析,非实际操作) |
| 🔧 `remediation-engine` | 在你的代码中实际实施修复方案 |
| 📊 `security-reporting` | 包含十分制安全评分(/100)的综合最终报告 |
## 安装说明
```
git clone https://github.com/Rootx202/appsec-skills.git
cp -r appsec-skills/security-skills/* ~/.claude/skills/
```
或者获取单个技能 —— 每个技能都是一个独立的文件夹,仅包含一个 `SKILL.md`。
兼容 **Claude Code**,并且可以作为自定义 Skills 上传至 **Claude.ai** 或 **Claude Cowork**。
## 用法
无需特殊语法 —— 只需自然地与 Claude 对话:
```
"Audit this repo before I deploy it"
"Is my login system secure?"
"Check my API for rate limiting issues"
"Scan my dependencies for CVEs"
"Fix the vulnerabilities you found"
"Generate a security report"
```
Claude Code 会根据技能描述,自动将你的请求匹配到相应的技能。
## 推荐工作流
```
1. code-audit / vulnerability-scanner → discover vulnerabilities
2. authentication-security / api-security / database-security /
frontend-security / backend-security / cloud-security
→ drill into the relevant layer
3. dependency-security / secrets-detection → supporting scans
4. remediation-engine → apply the fixes
5. security-reporting → final report + Security Score
```
## 输出示例
```
🔴 Vulnerability: SQL Injection
Severity: Critical
CWE: CWE-89
Location: src/routes/users.js:42
Evidence: db.query(`SELECT * FROM users WHERE id = ${req.params.id}`)
Impact: An attacker can read, modify, or delete any data in the database
Fix: db.query('SELECT * FROM users WHERE id = $1', [req.params.id])
```
## 范围与道德规范
- ✅ 审计、加固和修复你拥有或被授权开发的应用程序
- ✅ 学习安全编码模式和 OWASP 方法论
- ✅ 针对个人、客户或团队项目的部署前检查
- ❌ 不得用于测试你不拥有或缺乏书面授权进行测试的系统
- ❌ 不得用于构建攻击工具 —— `malware-analysis` 和 `penetration-testing` 在设计上严格限制为仅用于分析,绝不用于实际操作
## 许可证
MIT —— 随意使用,自由 fork,交付更安全的软件。
*专为那些希望 Claude Code 能够补齐代码审查疏漏的人而打造 —— 在攻击者发现漏洞之前。*
标签:LLM插件, SOC Prime, 安全左移, 开发工具