Security Audit

springboot-security ist ein praxisnaher Sicherheitsleitfaden für Spring Boot zu Authentifizierung, Autorisierung, Validierung, CSRF/CORS, Secrets, Headern, Rate Limiting und Dependency-Checks. Verwenden Sie den springboot-security Skill für Security-Audit-Arbeiten oder um einen Java-Dienst mit weniger Risiken durch Sicherheitsfehlkonfigurationen abzusichern.

skill-comply ist eine Skill zur Compliance-Prüfung, die in realen Läufen überprüft, ob ein Agent einer Skill-, Regel- oder Agentendefinition folgt. Sie generiert Spezifikationen aus Markdown, führt drei Stufen von Prompt-Striktheit aus, klassifiziert Tool-Call-Timelines und berichtet Compliance-Raten mit Belegen. Nützlich für skill-comply für Compliance-Review.

Das security-scan-Skill prüft deine Claude Code-.claude/-Konfiguration mit AgentShield auf Secrets, riskante MCP-Konfigurationen, anfällige Anweisungen für Injection, gefährliche Bypass-Flags sowie schwache Agent- oder Hook-Definitionen. Es eignet sich für wiederholbare Sicherheitsprüfungen vor dem Commit oder beim Onboarding.

Nutze die security-review Skill, um Authentifizierung, Nutzereingaben, Secrets, APIs, Zahlungen, Uploads und andere sensible Abläufe zu prüfen. Sie bietet einen praxisnahen Leitfaden für Security-Reviews mit klaren Pass-/Fail-Prüfpunkten, Beispielen riskanter Muster und einem fokussierten Ablauf, um typische Schwachstellen vor dem Release zu finden.

security-bounty-hunter hilft dir, bounty-würdige Schwachstellen in Repositories zu finden – mit Fokus auf remote erreichbaren, vom Nutzer steuerbaren Problemen, die eine Triage wahrscheinlich überstehen. Nutze es für Security-Audit-Aufgaben, wenn du praxisnahe, meldbare Findings statt lärmiger, rein lokaler Randfälle suchst.

repo-scan ist ein stackübergreifender Source-Audit-Skill, der Dateien klassifiziert, eingebettete Drittanbieter-Bibliotheken erkennt und dabei hilft zu beurteilen, was Kernbestand, Duplikat oder Ballast ist. Er ist nützlich für repo-scan für Code Review, Legacy-Migrationen und Refactoring-Planung. Siehe im Skill die Hinweise zu repo-scan-Installation und repo-scan-Nutzung.

perl-security hilft dir dabei, Perl-Code auf sicherere Eingabehandhabung, Taint Mode, Shell-Ausführung, DBI-Placeholders und Web-Sicherheitsprobleme wie XSS, SQLi und CSRF zu prüfen. Nutze dieses perl-security Skill für Security-Audit-Arbeiten, Maßnahmenplanung und sichere Entwicklung, wenn benutzerkontrollierte Daten in sensible Sinks gelangen.

llm-trading-agent-security ist ein praxisnaher Leitfaden zur Absicherung autonomer Trading-Agenten mit Wallet-Befugnissen. Er behandelt Prompt Injection, Ausgabelimits, Simulation vor dem Senden, Circuit Breaker, MEV-bewusste Ausführung und die Isolierung von Schlüsseln, um das Risiko finanzieller Verluste in einem Security Audit zu senken.

Das laravel-security Skill ist eine praxisnahe Laravel-Sicherheits-Checkliste für Authentifizierung/Autorisierung, Validierung, CSRF, Mass Assignment, Datei-Uploads, Secrets, Rate Limiting und sichere Bereitstellung. Verwenden Sie es für Audits, Feature-Reviews und Hardening-Arbeiten in Laravel-Apps.

hipaa-compliance ist der HIPAA-spezifische Einstiegspunkt für Datenschutz- und Sicherheitsaufgaben im Gesundheitswesen. Verwenden Sie die hipaa-compliance Skill, wenn eine Aufgabe ausdrücklich PHI, covered entities, BAAs, die Ausrichtung auf Vorfälle oder die Frage betrifft, ob ein Workflow ein HIPAA-Risiko erzeugt. Es ist eine schlanke Overlay-Schicht für schnelle Compliance-Einschätzung und Orientierung.

healthcare-phi-compliance hilft dabei, Healthcare-Apps auf PHI-/PII-Risiken zu prüfen – über Datenmodelle, APIs, Logs und Zugriffspfade hinweg. Nutzen Sie es, um Datenklassifizierung, Zugriffskontrolle, Verschlüsselung, Audit-Trails und typische Leckagequellen im Hinblick auf HIPAA, DISHA, GDPR und ähnliche Security-Audit-Anforderungen zu bewerten.

healthcare-eval-harness ist ein Evaluierungs-Harness für Patientensicherheit bei Healthcare-App-Deployments. Er hilft Teams dabei, vor der Freigabe die Genauigkeit von CDSS, PHI-Offenlegung, Datenintegrität, das Verhalten klinischer Workflows und die Einhaltung von Integrationsvorgaben zu überprüfen. Kritische Fehler blockieren das Deployment, wodurch sich healthcare-eval-harness gut als Sicherheitsschranke für Model Evaluation und CI eignet.

github-ops ist ein Skill für GitHub-Operationen zum Triage von Issues, Verwalten von PRs, Prüfen von CI-Fehlern, Vorbereiten von Releases und Überwachen der Repository-Gesundheit mit der gh CLI. Nutze den github-ops Skill, wenn du wiederholbare github-ops-Anwendungen für ein echtes Repository brauchst, mit Authentifizierung über `gh auth login` und klarem Repo-Kontext.

ecc-tools-cost-audit ist ein evidenzorientierter Audit-Skill für Kosten-Spikes, unkontrollierte PR-Erstellung, Quota-Umgehung, Leaks durch Premium-Modelle und doppelte Jobs in ECC Tools. Verwenden Sie ihn für Backend-Development-Untersuchungen, die eine Anfrage vom Webhook über den Worker bis zur Billing-Entscheidung nachverfolgen und belegen, wo Kosten entstehen.

django-verification ist ein Skill zur Release-Bereitschaft für Django-Backend-Projekte. Er führt durch Umgebungsprüfungen, Linting, Formatierung, Typprüfungen, Migrationen, Tests mit Coverage, Sicherheits-Scans und die Deploy-Bereitschaft, damit du Probleme vor PRs oder Releases erkennst.

django-security ist ein praxisnaher Leitfaden zum Absichern von Django-Apps mit Authentifizierung, Autorisierung, CSRF, XSS, Schutz vor SQL-Injection, sicheren Cookies und Production-Settings. Er hilft Entwicklern und Reviewern dabei, einen fokussierten Security Audit durchzuführen, riskante Konfigurationen schnell zu erkennen und vor dem Deployment konkrete Korrekturen umzusetzen.

defi-amm-security ist eine gezielte Security-Checkliste für Solidity-AMMs, Liquidity Pools, LP-Vaults und Swap-Flows. Sie hilft Auditoren und Engineers dabei, Reentrancy, CEI-Reihenfolge, Donation- oder Inflationsangriffe, Oracle-Annahmen, Slippage, Admin-Controls und Integer-Mathematik mit deutlich weniger Rätselraten zu prüfen als bei einem allgemeinen Prompt.

code-reviewer ist ein leichtgewichtiges Skill für Code Review, das Code oder Diffs in einen strukturierten Bericht überführt – mit Sicherheit, Performance, Best Practices, Schweregrad, betroffenen Zeilen oder Abschnitten, empfohlenen Korrekturen und einer Gesamtbewertung der Qualität.

code-reviewer ist eine KI-Skill für Code-Reviews mit einer festen Prüf-Reihenfolge: Sicherheit, Performance, Korrektheit und Wartbarkeit. Sie nutzt Regeldateien für SQL injection, XSS, N+1 queries, error handling, naming und type hints und macht PR-Reviews damit konsistenter als ein allgemeiner Review-Prompt.

cso ist ein Security-Audit-Skill im Stil eines Chief Security Officer für Agents. Er hilft dabei, Codebasen und Workflows auf Secret-Leaks, Abhängigkeits- und Supply-Chain-Risiken, CI/CD-Sicherheit sowie LLM-/KI-Sicherheit zu prüfen – mit OWASP Top 10 und STRIDE als Grundlage. Verwende cso für strukturierte Security-Audit-Reviews mit Confidence Gates, aktiver Verifikation und Trend-Tracking.

attack-tree-construction unterstützt beim Aufbau strukturierter Angriffsbäume für Threat Modeling – mit klaren Hauptzielen, AND/OR-Verzweigungen und überprüfbaren Leaf-Angriffen. Nutzen Sie die Skill, um Angriffspfade abzubilden, Verteidigungslücken sichtbar zu machen und Security-Reviews, Tests sowie die Maßnahmenplanung zu unterstützen.

Die sast-configuration-Skill unterstützt bei der Konfiguration von Semgrep, SonarQube und CodeQL für reale SAST-Workflows. Nutzen Sie sie, um Installationsschritte, die CI/CD-Integration, benutzerdefinierte Regeln, Quality Gates und die Abstimmung von False Positives für Security Audit und repository-spezifisches Scanning zu planen.

stride-analysis-patterns hilft Agents dabei, eine strukturierte STRIDE-Bedrohungsmodellierung für Architekturen, APIs und Datenflüsse durchzuführen. Installieren Sie den Skill aus dem Repo wshobson/agents, lesen Sie die Datei `SKILL.md` und nutzen Sie ihn, um Systembeschreibungen in kategorisierte Bedrohungen und kontrollorientierte Review-Ergebnisse zu überführen.

Die threat-mitigation-mapping Skill unterstützt dabei, identifizierte Bedrohungen präventiven, detektiven und korrektiven Kontrollen über verschiedene Ebenen hinweg zuzuordnen. So lassen sich Defense-in-Depth, Remediation-Planung und die Prüfung der Control-Abdeckung gezielt unterstützen.