СкиллБезопасность

security-auditor

OWASP-методология аудита безопасности: сканирование кода, поиск уязвимостей, рекомендации по исправлению.

Закинь в Claude, Cursor или любой AI

Описание

Простым языком

Сделал сайт — но как проверить что его нельзя взломать? Этот скилл как охранник: проверяет весь код на дыры в безопасности и находит места где злоумышленник мог бы навредить.

Claude читает твой код, находит уязвимые места и сразу исправляет их. Ты получаешь отчёт: что было, что исправлено, что нужно сделать позже.

Что делает

Скилл security-auditor проводит аудит безопасности кода: SQL-инъекции, XSS, CSRF, захардкоженные секреты, незащищённые эндпоинты, уязвимые зависимости. Выдаёт отчёт с приоритетами и патчами.

Автоматически подключается при написании кода, связанного с авторизацией, платежами и пользовательским вводом.

Когда использовать

  • Перед деплоем новой фичи с пользовательским вводом
  • После добавления API-эндпоинтов (особенно POST/PUT/DELETE)
  • При интеграции платёжного шлюза
  • Периодический аудит (раз в месяц или при релизе)
  • После подозрительного поведения в логах

Как работает — пошагово

  1. Claude читает целевые файлы: хендлеры, middleware, работу с БД
  2. Ищет паттерны уязвимостей: конкатенация в SQL, innerHTML, eval(), прямой доступ к process.env
  3. Проверяет package.json через npm audit — критические уязвимости в зависимостях
  4. Проверяет авторизацию: все ли эндпоинты проверяют права?
  5. Составляет отчёт: Critical → Major → Minor с конкретными патчами
  6. Применяет патчи молча, показывает только финальный отчёт

Промпты для Claude

Проведи security-аудит файлов src/app/api/
Особое внимание: авторизация, работа с пользовательскими данными.
/security-auditor
Проверь весь проект перед деплоем на прод.
Выдай отчёт: Critical, Major, Minor.
Исправь Critical и Major автоматически.

Пример отчёта

━━━ SECURITY AUDIT ━━━

🔴 Critical (1):
  src/app/api/users/route.ts:45
  SQL-конкатенация: WHERE id = ${params.id}
  → Заменено на параметризованный запрос

🟡 Major (2):
  src/app/api/questions/route.ts — нет rate limiting
  → Добавлен: 10 req/min per IP

  .env.example не содержит TELEGRAM_BOT_TOKEN
  → Добавлено с описанием как получить

🟢 Minor (1):
  src/lib/auth.ts — JWT не проверяет audience (aud)
  → Техдолг, добавить в следующем спринте

Итого: 1 Critical (исправлен), 2 Major (исправлены), 1 Minor (отложен)

Автоматизация

Запуск аудита зависимостей в CI:

# .github/workflows/security.yml
jobs:
  audit:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - run: npm audit --audit-level=high
      - run: npx better-npm-audit audit --level high

Частые вопросы

Насколько полный аудит делает скилл?

Скилл покрывает OWASP Top 10 для Node.js: инъекции, broken auth, exposure, XXE, broken access control, security misconfiguration, XSS, insecure deserialization, known vulnerabilities, insufficient logging. Пентест заменить не может.

Что делать если Critical нельзя быстро починить?

Добавить временный workaround (например, whitelist на эндпоинте) и создать issue с приоритетом P0. Не деплоить с нераспределёнными Critical.

#Skills#Claude Code#Quality Gates
TG

> Пока нет комментариев

Связанный контент

Похожие инструменты

Команда

/pre-commit-check

Проверки перед коммитом: security scan, lint, типы, debug-код. Всё в одной команде.

Открыть →
Хук

branch-guard

Блокирует прямой push в main/master. Предлагает создать PR через GitHub CLI.

Открыть →
Хук

destructive-guard

Блокирует деструктивные bash-команды: rm -rf, DROP TABLE, git reset --hard. Спрашивает подтверждение.

Открыть →
Хук

protect-secrets

Блокирует запись файлов с секретами: .env, токены, пароли, приватные ключи. Не даёт случайно закоммитить.

Открыть →