sast-configuration

von wshobson

Die sast-configuration-Skill unterstützt bei der Konfiguration von Semgrep, SonarQube und CodeQL für reale SAST-Workflows. Nutzen Sie sie, um Installationsschritte, die CI/CD-Integration, benutzerdefinierte Regeln, Quality Gates und die Abstimmung von False Positives für Security Audit und repository-spezifisches Scanning zu planen.

Stars32.6k

Favoriten0

Kommentare0

Hinzugefügt30. März 2026

KategorieSecurity Audit

Installationsbefehl

npx skills add wshobson/agents --skill sast-configuration

Kurationswert

Diese Skill erreicht 76/100 und ist damit ein solider Kandidat für ein Verzeichniseintrag: Nutzer verstehen in der Regel gut, wann sie eingesetzt werden sollte und welchen Mehrwert sie bietet. Erwartet werden sollte jedoch eher beratende Orientierung als ein strikt ausführbarer Installations-und-Start-Workflow.

76/100

Stärken

Hohe thematische Eindeutigkeit: Beschreibung und Überblick machen Einsatzfälle wie SAST-Setup in CI/CD, das Erstellen eigener Regeln, Quality Gates und die Abstimmung von False Positives klar erkennbar.
Guter Mehrwert für Agents: Die Skill bündelt Hinweise für mehrere praxisrelevante Tools – Semgrep, SonarQube und CodeQL – und bietet damit mehr konkrete Struktur als ein allgemeiner Security-Prompt.
Umfangreicher Workflow-Inhalt: Der Skill-Text ist ausführlich, gut gegliedert und deckt mit vielen Überschriften, Code-Blöcken und praxisnahen Themen wie CI-Integration, Custom Rules, Compliance-Richtlinien und Scan-Optimierung einen breiten Bereich ab.

Hinweise

Die operative Ausführung bleibt teilweise implizit: Es gibt keine unterstützenden Dateien, Skripte, Referenzen oder Installationsbefehle, daher müssen Agents konkrete Befehle und tool-spezifische Einrichtungsdetails teilweise selbst ableiten.
Vertrauen und Entscheidungsgrundlage sind eher solide als hoch, da die Repository-Belege nur Anleitungstexte zeigen und keine mitgelieferten Beispiele, Vorlagen oder verlinkten Quelldateien zur Validierung der Workflows enthalten.

Security Configuration Ci Cd Workflow Automation

Überblick

Überblick über den sast-configuration-Skill

Was der sast-configuration-Skill leistet

Der sast-configuration-Skill hilft einem Agenten dabei, Static Application Security Testing-Workflows für echte Repositories zu entwerfen und feinzujustieren, statt nur bekannte Tools aufzuzählen. Im Fokus steht die Konfiguration von SAST-Tools wie Semgrep, SonarQube und CodeQL für automatisierte Code-Scans, benutzerdefinierte Regeln, CI/CD-Integration, Quality Gates und die Reduzierung von False Positives.

Für wen sich dieser Skill eignet

Dieser sast-configuration skill ist besonders geeignet für:

Security Engineers, die Scans teamübergreifend standardisieren wollen
Platform- und DevSecOps-Engineers, die SAST in CI/CD integrieren
Entwickler, die funktionierende Startkonfigurationen statt Theorie brauchen
Teams, die Semgrep, SonarQube und CodeQL für Security Audit-Workflows vergleichen

Wenn deine Aufgabe lautet, „Security Scanning in unserem Repo sinnvoll nutzbar zu machen, ohne Entwickler zu überfordern“, ist dieser Skill sehr passend.

Die eigentliche Aufgabe dahinter

Die meisten Nutzer brauchen keine allgemeine Erklärung zu SAST. Sie brauchen Hilfe dabei, ein unscharfes Ziel wie „Scannt unser Monorepo auf Sicherheitsprobleme“ in konkrete Entscheidungen zu übersetzen:

welches Tool zum Stack und Hosting-Modell passt
womit man beim Scannen beginnen sollte
wie Scans in Pull Requests und Main-Branch-Pipelines eingebunden werden
wie Regeln so abgestimmt werden, dass weniger Rauschen entsteht
wann sich Custom Rules lohnen und wann Built-in Checks ausreichen

Genau bei dieser praktischen Entscheidungsunterstützung ist sast-configuration deutlich nützlicher als ein gewöhnlicher One-shot-Prompt.

Was diesen Skill unterscheidet

Das wichtigste Unterscheidungsmerkmal ist die Kombination aus Breite und Konfigurationsfokus. Statt nur einen einzelnen Scanner isoliert zu behandeln, deckt der Skill Folgendes ab:

Semgrep für flexible regelbasierte Scans und benutzerdefinierte Patterns
SonarQube für Quality Gates, Hotspots und breiter angelegte Code-Health-Workflows
CodeQL für GitHub-native Sicherheitsanalysen und eigene Query-Pfade

Dadurch ist sast-configuration for Security Audit besonders nützlich, wenn du eine Empfehlung brauchst und nicht nur Hilfe bei der Syntax.

Was du vor der Installation wissen solltest

Dieser Skill ist stark beratungsorientiert. Die Repository-Signale zeigen ein einzelnes SKILL.md ohne Hilfsskripte oder paketierte Templates. Der Mehrwert kommt also vor allem daraus, wie der Agent Setup, Prioritäten und Trade-offs strukturiert — nicht aus sofort einsetzbaren Automatisierungsartefakten. Installiere ihn, wenn du bessere Planung, stärkere Prompts und klarere Konfigurationsentscheidungen willst. Erwarte kein sofort einsatzbereites Scanner-Bundle.

So nutzt du den sast-configuration-Skill

So installierst du sast-configuration

Nutze den üblichen Skills-Installationsablauf für das Repository:

npx skills add https://github.com/wshobson/agents --skill sast-configuration

Prüfe nach der Installation, ob der Skill in deiner Agent-Umgebung verfügbar ist, und rufe ihn dann mit einer repositoriespezifischen Security-Setup-Aufgabe auf.

Diese Datei zuerst lesen

Starte mit:

plugins/security-scanning/skills/sast-configuration/SKILL.md

Da dieser Skill keine sichtbaren Zusatzdateien enthält, liefert dir SKILL.md fast die gesamte verfügbare Implementierungsanleitung. Für eine Installations- oder Adoptionsentscheidung solltest du besonders die Abschnitte zu folgenden Themen überfliegen:

Semgrep-Konfiguration
SonarQube-Setup
CodeQL-Analyse
CI/CD-Integration
Erstellung benutzerdefinierter Regeln
Performance- und False-Positive-Tuning

Welche Eingaben der Skill braucht

Die Qualität der sast-configuration usage hängt stark davon ab, wie viel Kontext du mitgibst. Mindestens diese Informationen sollte der Agent bekommen:

primäre Sprachen und Frameworks
Repository-Typ: einzelne App, Service-Landschaft oder Monorepo
CI-Plattform: GitHub Actions, GitLab CI, Jenkins usw.
Hosting-Vorgaben: SaaS erlaubt oder nur Self-Hosted
Compliance-Anforderungen: OWASP, interne Richtlinien, Audit-Nachweise
aktuelle Pain Points: False Positives, langsame Scans, schwaches PR-Feedback, keine Custom Rules
gewünschtes Ergebnis: Startkonfiguration, Migrationsplan, Tuning-Plan oder Multi-Tool-Strategie

Ohne diese Details kann der Agent nur allgemeine Setup-Empfehlungen liefern.

Welche Prompt-Form für starke Ergebnisse sorgt

Eine schwache Anfrage sieht so aus:

Set up SAST for our app.

Ein stärkerer Prompt für einen sast-configuration guide sieht zum Beispiel so aus:

Use the sast-configuration skill to propose a SAST setup for a GitHub-hosted monorepo with Python and JavaScript services. We want PR-time checks under 10 minutes, deeper scanning on main, low false positives for developers, and GitHub-native reporting where possible. Compare Semgrep, CodeQL, and SonarQube, recommend one primary approach, and include CI workflow structure, tuning priorities, and where custom rules are worth the effort.

Das funktioniert besser, weil Stack, Plattform, Latenzziel, Reporting-Präferenz und Entscheidungskriterien klar benannt sind.

Aus groben Zielen umsetzbare Anfragen machen

Bitte nicht einfach um „Konfigurationshilfe“, sondern gezielt um eines dieser Ergebnisse:

eine Tool-Empfehlung mit klaren Trade-offs
einen gestuften Rollout-Plan für ein Repo oder eine ganze Organisation
ein PR-Pipeline-Design im Vergleich zu nächtlichen Deep Scans
eine Strategie zur Reduzierung von False Positives
Kandidaten für Custom Rules in deinem Framework oder für interne APIs
einen Migrationspfad von einem SAST-Tool zu einem anderen

Je klarer die Anfrage eingegrenzt ist, desto eher bekommst du installierbare und umsetzbare Ergebnisse.

Empfohlener Workflow für echte Projekte

Ein praxistauglicher Workflow mit dem sast-configuration skill sieht so aus:

beschreibe deinen Stack, deine CI und deine Randbedingungen
bitte um Tool-Auswahl oder Bestätigung einer Vorauswahl
fordere eine minimale Startkonfiguration an
bitte nach den ersten Scan-Ergebnissen um Tuning-Empfehlungen
iteriere bei Exclusions, Severity-Schwellen und Custom Rules
ergänze Governance-Themen wie Quality Gates oder Policy Enforcement

Dieses stufenweise Vorgehen ist besser, als in einem einzigen Prompt einen perfekten Enterprise-Rollout entwerfen zu wollen.

Wann du Semgrep, SonarQube oder CodeQL wählen solltest

Nutze den Skill für eine konkrete Empfehlung, aber diese Heuristiken helfen als Ausgangspunkt:

Semgrep: am besten, wenn du schnelle Einführung, breite Sprachabdeckung und Custom Pattern Rules brauchst
SonarQube: am besten, wenn Security Scanning Teil eines größeren Programms für Codequalität und Governance ist
CodeQL: am besten, wenn ihr bereits stark im GitHub-Ökosystem arbeitet und semantische Analysen in GitHub Advanced Security-Workflows nutzen wollt

Für viele Teams ist das wertvollste Ergebnis nicht „alle Tools einsetzen“, sondern „einen primären Scanner wählen und nur dort einen zweiten ergänzen, wo sich die Abdeckung tatsächlich verbessert“.

So fragst du nach CI/CD-Output

Wenn du verwertbare Pipeline-Empfehlungen willst, fordere diese Punkte ausdrücklich an:

Trigger-Strategie für Pull Requests, Pushes und geplante Scans
Fail-Bedingungen und Severity-Schwellen
Umgang mit Artefakten oder SARIF
Baseline-Strategie für Altbefunde
Regeln zum Scan-Umfang bei Monorepos oder generiertem Code
Entwickler-Feedback direkt im Code-Host

Diese Details entscheiden darüber, ob das Setup wirklich genutzt oder später umgangen wird.

So bekommst du bessere Empfehlungen für Custom Rules

Der Skill behandelt auch die Erstellung benutzerdefinierter Regeln, aber wirklich nützlich werden Custom Rules erst mit konkreten Beispielen. Gib dem Agenten dafür:

Code-Snippets mit riskanten internen Mustern
frameworkspezifische Sinks und Sources
Namenskonventionen für unsichere Wrapper
Beispiele für zuvor übersehene Findings
Beispiele für laute Findings, die unterdrückt werden sollen

So wird aus einer allgemeinen Regeldiskussion eine gezielte Liste sinnvoller Rule-Kandidaten.

Einschränkungen und Trade-offs früh sichtbar machen

Bevor du die Ausgabe des Skills umsetzt, bitte ihn ausdrücklich, diese Faktoren zu berücksichtigen:

Laufzeitbudgets für Scans
wie viel blockierende Checks Entwickler akzeptieren
Grenzen von Self-Hosted- gegenüber Managed-Deployments
Abhängigkeiten von Lizenzen oder Enterprise-Features
Sprachlücken in Repositories mit gemischtem Stack
Zuständigkeiten für Triage und Pflege von Regeln

Diese Punkte blockieren die Einführung in der Praxis oft stärker als Scanner-Syntax.

FAQ zum sast-configuration-Skill

Ist sast-configuration gut für Einsteiger

Ja — vorausgesetzt, du kennst dein Repository und deine CI-Plattform bereits. Der Skill ist zugänglich, weil er SAST-Setup entlang realer Einsatzfälle strukturiert. Er ersetzt aber nicht das Verständnis deiner Codebase, deines Branch-Workflows und deines Security-Ownership-Modells. Einsteiger profitieren am meisten, wenn sie nach einer minimalen Startkonfiguration fragen und nicht nach einer unternehmensweiten Policy.

Was macht dieser Skill besser als ein normaler Prompt

Ein normaler Prompt liefert oft nur allgemeine Scanner-Empfehlungen. Der sast-configuration skill ist nützlicher, wenn du strukturierte Orientierung zu Semgrep, SonarQube und CodeQL brauchst — plus Hilfe bei Custom Rules, Quality Gates und dem Tuning von False Positives. Er reduziert das Rätselraten bei Tool-Fit und Rollout-Reihenfolge.

Ist dieser Skill nur für GitHub-Nutzer gedacht

Nein. CodeQL ist zwar besonders eng mit GitHub-Ökosystemen verzahnt, aber der Skill deckt auch Semgrep und SonarQube ab, die in sehr unterschiedlichen CI-Systemen und Hosting-Modellen verbreitet sind. Wenn du GitLab oder Jenkins nutzt, kann dir der Skill trotzdem bei Tool-Auswahl und Pipeline-Struktur helfen.

Wann passt sast-configuration eher nicht

Überspringe diesen Skill, wenn du eine vollständig paketierte Umsetzung mit fertigen Skripten und Templates brauchst. Die Signale aus dem Repository deuten klar auf einen dokumentationszentrierten Skill hin, nicht auf ein Automatisierungspaket. Weniger geeignet ist er auch dann, wenn dein Hauptproblem eher Dynamic Testing, Cloud Posture Management oder Dependency Scanning ist und nicht quellcodebasiertes SAST.

Kann er bei False Positives helfen

Ja. Das ist einer der praktischsten Gründe, sast-configuration zu verwenden. Der Quellinhalt behandelt Tuning und Optimierung ausdrücklich. Bitte gezielt um eine Suppression-Strategie, Scope-Exclusions, Severity-Kalibrierung und die Verfeinerung benutzerdefinierter Regeln auf Basis echter Findings aus deinem Repo.

Sollte ich ein Tool oder mehrere Tools verwenden

In der Regel solltest du mit einem Tool starten. Multi-Tool-SAST kann die Abdeckung verbessern, erhöht aber auch Triage-Aufwand, doppelte Findings und die Ermüdung bei Entwicklern. Nutze diesen Skill, um zu begründen, wo Defense-in-Depth echten Mehrwert bringt, statt pauschal anzunehmen, mehr Scanner bedeuteten automatisch bessere Sicherheit.

So verbesserst du den sast-configuration-Skill

Gib dem sast-configuration-Skill repositoriespezifischen Kontext

Der schnellste Weg zu besseren Ergebnissen mit sast-configuration ist, keine abstrakten Fragen mehr zu stellen. Füge stattdessen konkret hinzu:

Sprachmix
Beispiel-Services oder Ordner
bestehende CI-Dateien
Security-Anforderungen
Beispiel-Findings oder übersehene Bugs
Rollout-Randbedingungen

Konkreter Kontext führt zu umsetzbaren Konfigurationsentscheidungen statt zu allgemeinen Best Practices.

Bitte um entscheidungsreife Empfehlungen

Frage nicht nur, was jeder Scanner grundsätzlich macht. Bitte den Skill stattdessen um:

eine Empfehlung mit Begründung
was diese Woche umgesetzt werden sollte
was vorerst zurückgestellt werden kann
welche Risiken weiterhin ungedeckt bleiben
welche Signale nach dem Rollout auf Erfolg hindeuten

Mit diesem Framing wird die Ausgabe sowohl für die Umsetzung als auch für die Abstimmung mit Stakeholdern nutzbar.

Liefere Beispiele für laute und wertvolle Findings

Wenn der erste Durchlauf zu viel Rauschen produziert, füge eine kleine Auswahl an Findings ein und bitte den Agenten, sie so zu klassifizieren:

True Positives, die weiterhin blockierend bleiben sollen
Issues, die heruntergestuft werden sollten
Muster, die ausgeschlossen werden sollten
Fälle, die Custom Rules brauchen
Fälle, bei denen eher Entwickler-Schulung als Scanner-Änderungen nötig ist

Das ist eine der wirksamsten Methoden, um die sast-configuration usage spürbar zu verbessern.

Trenne Startkonfiguration von reifer Policy

Viele Teams scheitern daran, schon am ersten Tag harte Gates durchsetzen zu wollen. Bitte den Skill stattdessen um zwei Phasen:

initial adoption: schnelle Scans, sichtbare Ergebnisse, minimale Blockierung
mature enforcement: strengere Gates, Policy Checks, Custom Rules, breitere Abdeckung

Ein solcher gestufter Plan erhöht die Wahrscheinlichkeit deutlich, dass Entwickler den Scanner dauerhaft aktiviert lassen.

Fordere Ausgaben in dem Format an, das du wirklich umsetzen willst

Wenn du etwas direkt Nutzbares brauchst, frage gezielt nach:

CI YAML skeletons
rule examples
quality gate criteria
repo folder inclusion and exclusion logic
a rollout checklist

Der Skill wird deutlich wertvoller, wenn du exakt benennst, welches Artefakt du als Nächstes brauchst.

Häufige Fehler, die du vermeiden solltest

Achte bei der Nutzung von sast-configuration auf diese typischen Fehltritte:

Tools auswählen, bevor Hosting- und Budgetgrenzen geklärt sind
blockierende Checks ohne Baseline-Handling aktivieren
generierten, vendorten oder irrelevanten Code mitscannen
nach Custom Rules fragen, bevor echte Lücken identifiziert wurden
mehrere Scanner kombinieren, ohne einen Ownership-Plan für die Triage zu haben

Diese Probleme führen in der Praxis meist zum Abbruch — nicht zu besserer Sicherheit.

So iterierst du nach der ersten Antwort weiter

Nach der ersten Antwort verbesserst du die Ergebnisse mit Nachfragen wie:

“Rework this for a monorepo with separate PR and nightly scan paths.”
“Prioritize low-maintenance options because we have no dedicated AppSec team.”
“Reduce false positives for internal validation wrappers.”
“Show where Semgrep is enough and where CodeQL adds unique value.”
“Convert this recommendation into a step-by-step rollout plan.”

Durch dieses iterative Prompting wird der sast-configuration skill wirklich umsetzungsreif statt nur informativ.

Bewertungen & Rezensionen

Noch keine Bewertungen

Teile deine Rezension

Melde dich an, um für diesen Skill eine Bewertung und einen Kommentar zu hinterlassen.

0/10000

Neueste Rezensionen

Wird gespeichert...

Mehr Skills in dieser Kategorie

security-threat-model

von openai

Repository-basiertes security-threat-model für AppSec-Threat-Modeling. Es überführt Vertrauensgrenzen, Assets, Angreiferziele, Missbrauchspfade und Gegenmaßnahmen in ein kompaktes Markdown-Threat-Model. Nutzen Sie es, wenn Sie security-threat-model für Threat Modeling in einem konkreten Repo oder Pfad brauchen, nicht für eine generische Architekturprüfung oder Codeanalyse.

Threat Modeling

Favoriten 0GitHub 0

solana-vulnerability-scanner

von trailofbits

solana-vulnerability-scanner ist ein fokussierter Solana-Security-Audit-Skill für native Rust- und Anchor-Programme. Er hilft dabei, CPI-Logik, PDA-Validierung, Signer- und Ownership-Prüfungen sowie Sysvar-Spoofing zu überprüfen, um sechs kritische Solana-spezifische Schwachstellen vor dem Deployment zu erkennen.

Security Audit

Favoriten 0GitHub 4.9k

azure-ai-contentsafety-ts

von microsoft

azure-ai-contentsafety-ts hilft dabei, Text und Bilder mit Azure AI Content Safety in TypeScript auf schädliche Inhalte zu prüfen. Nutzen Sie diese Skill für Moderations-Workflows, Blocklists und Sicherheitsprüfungen von Hassrede, Gewalt, sexuellen Inhalten und Selbstverletzung. Außerdem werden das Einrichten von Azure-Endpunkt und Authentifizierung abgedeckt.

Security Audit

Favoriten 0GitHub 2.3k

sharp-edges

von trailofbits

Die sharp-edges-Skill hilft dir, APIs, Konfigurationen und Schnittstellen zu finden, bei denen der naheliegende Weg zu unsicherer Nutzung führt. Nutze sie, um Authentifizierungsflüsse, kryptografische Wrapper, gefährliche Standardwerte, Null- oder Zero-Semantik und anfällige Designentscheidungen zu prüfen. Sie passt besonders gut für sharp-edges bei Security-Audit-Arbeiten, wenn du konkrete Fallstricke brauchst und keine allgemeinen Sicherheitsvermutungen.

Security Audit

Favoriten 0GitHub 5k

security-review

von affaan-m

Nutze die security-review Skill, um Authentifizierung, Nutzereingaben, Secrets, APIs, Zahlungen, Uploads und andere sensible Abläufe zu prüfen. Sie bietet einen praxisnahen Leitfaden für Security-Reviews mit klaren Pass-/Fail-Prüfpunkten, Beispielen riskanter Muster und einem fokussierten Ablauf, um typische Schwachstellen vor dem Release zu finden.

Security Audit

Favoriten 0GitHub 156.3k

django-security

von affaan-m

django-security ist ein praxisnaher Leitfaden zum Absichern von Django-Apps mit Authentifizierung, Autorisierung, CSRF, XSS, Schutz vor SQL-Injection, sicheren Cookies und Production-Settings. Er hilft Entwicklern und Reviewern dabei, einen fokussierten Security Audit durchzuführen, riskante Konfigurationen schnell zu erkennen und vor dem Deployment konkrete Korrekturen umzusetzen.

Security Audit

Favoriten 0GitHub 156.1k

exploiting-insecure-data-storage-in-mobile

von mukul975

Das Skill „exploiting-insecure-data-storage-in-mobile“ unterstützt bei der Bewertung und Extraktion von Beweismitteln aus unsicherem lokalem Speicher in Android- und iOS-Apps. Es behandelt SharedPreferences, SQLite-Datenbanken, plist-Dateien, weltweit lesbare Dateien, Backup-Offenlegung sowie schwache Keychain-/Keystore-Verarbeitung für Mobile-Pentesting und Security-Audit-Workflows.

Security Audit

Favoriten 0GitHub 6.2k

detecting-s3-data-exfiltration-attempts

von mukul975

detecting-s3-data-exfiltration-attempts unterstützt bei der Untersuchung möglicher AWS-S3-Datenexfiltration, indem CloudTrail-S3-Datenereignisse, GuardDuty-Funde, Amazon-Macie-Alerts und S3-Zugriffsmuster korreliert werden. Nutzen Sie diesen detecting-s3-data-exfiltration-attempts-Skill für Security Audits, Incident Response und die Analyse verdächtiger Massendownloads.

Security Audit

Favoriten 0GitHub 6.2k

building-incident-response-playbook

von mukul975

building-incident-response-playbook hilft Security-Teams, wiederverwendbare Incident-Response-Playbooks mit klaren Phasen, Entscheidungsbäumen, Eskalationskriterien, RACI-Zuordnung und SOAR-tauglicher Struktur zu erstellen. Es ist für die Dokumentation von Incident-Response-Prozessen, Workflows zur Incident-Triage und auditfähige operative Reaktionspläne gedacht.

Incident Triage

Favoriten 0GitHub 6.1k

building-patch-tuesday-response-process

von mukul975

building-patch-tuesday-response-process hilft Teams dabei, einen wiederholbaren Microsoft Patch Tuesday-Prozess aufzubauen, um Advisories zu triagieren, Risiken zu priorisieren, Patches zu testen, Rollouts freizugeben und Compliance nachzuverfolgen. Nützlich für Security Operations, Vulnerability Management und building-patch-tuesday-response-process für Projektmanagement.

Project Management

Favoriten 0GitHub 6.1k

ossfuzz

von trailofbits

Lerne die ossfuzz-Skill für Continuous Fuzzing-Setup, Projektanmeldung, Harness-Planung und die Prüfung des Build-Workflows kennen. Dieser Leitfaden hilft Security Engineers und Maintainers dabei, die Einsatzbereitschaft einzuschätzen, Build-Blocker zu erkennen und einen praktischen Weg vom Source Tree zu OSS-Fuzz oder einer privaten Fuzzing-Infrastruktur vorzubereiten.

Security Audit

Favoriten 0GitHub 5k

codeql

von trailofbits

Die codeql-Skill hilft dir, CodeQL bei einem Security Audit mit weniger blinden Flecken einzusetzen. Der Fokus liegt auf Datenbankqualität, Suite-Auswahl, Data Extensions und SARIF-Review, damit du codeql zuverlässiger über unterstützte Sprachen hinweg verwenden kannst. Nutze sie für wiederholbare codeql-Anleitungsschritte bei der Analyse realer Repositories.

Security Audit

Favoriten 0GitHub 5k

semgrep-rule-creator

von trailofbits

semgrep-rule-creator erstellt Semgrep-Regeln in Produktionsqualität für Sicherheitslücken, Bug-Muster, Taint-Flow-Erkennungen und Coding-Standards. Verwenden Sie den semgrep-rule-creator Skill für Security-Audit-Aufgaben, wenn Sie präzise Regeln, Testfälle und Validierung statt eines generischen Entwurfs brauchen.

Security Audit

Favoriten 0GitHub 5k

insecure-defaults

von trailofbits

Die insecure-defaults Skill hilft dabei, Fail-Open-Konfigurationsmuster zu erkennen, bei denen Software mit unsicheren Einstellungen weiterläuft, statt abzubrechen. Verwenden Sie sie für ein Security Audit von Produktionscode, Deployment-Konfigurationen und Logik zur Secret-Verarbeitung, um schwache Authentifizierung, hartcodierte Geheimnisse und zu freizügige Standardwerte aufzudecken.

Security Audit

Favoriten 0GitHub 5k

constant-time-analysis

von trailofbits

constant-time-analysis ist eine Security-Audit-Skill zum Finden von Timing-Side-Channel-Risiken in kryptografischem Code, bevor sie zu ausnutzbaren Bugs werden. Nutze sie, um geheimnisabhängige Mathematik, Verzweigungen, Vergleiche und kompilierten Output zu prüfen, wenn du C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python oder Ruby analysierst.

Security Audit

Favoriten 0GitHub 5k

secure-workflow-guide

von trailofbits

secure-workflow-guide führt durch einen 5-stufigen Solidity-Security-Workflow: Slither-Triage, funktionsspezifische Checks, visuelle Prüfung, Notizen zu Security-Properties und manuelle Review. Die Skill ist für Smart-Contract-Teams, Auditoren und Entwickler gedacht, die vor Deployment oder Release einen wiederholbaren secure-workflow-guide benötigen.

Security Audit

Favoriten 0GitHub 4.9k