secrets-management

von wshobson

Die Skill secrets-management unterstützt Teams dabei, CI/CD-Secrets mit Vault, AWS Secrets Manager, Azure Key Vault, Google Secret Manager und nativen Plattformoptionen abzusichern. Nutzen Sie sie, um das Abrufen von Secrets zur Laufzeit, Rotation und Least-Privilege-Access-Control für Pipelines zu planen.

Stars32.6k

Favoriten0

Kommentare0

Hinzugefügt30. März 2026

KategorieAccess Control

Installationsbefehl

npx skills add wshobson/agents --skill secrets-management

Kurationswert

Dieser Skill erreicht 70/100. Er ist damit grundsätzlich aufführbar und voraussichtlich hilfreich für Agents, die sich mit der Speicherung und Rotation von CI/CD-Secrets befassen. Nutzer des Verzeichnisses sollten jedoch eher mit einem reinen Dokumentationsleitfaden rechnen als mit einem stark operativen Skill mit installierbaren Hilfen oder klaren Entscheidungsregeln.

70/100

Stärken

Klare Auslösbarkeit: Das Frontmatter und der Abschnitt „When to Use“ decken Anmeldedaten, Zertifikate, Rotation und CI/CD-Anwendungsfälle mit Least Privilege ausdrücklich ab.
Bietet echte Workflow-Inhalte über mehrere Plattformen hinweg, einschließlich Vault-Setup und Beispielen zur CI/CD-Integration statt bloßer Platzhaltertexte.
Liefert einen vergleichenden Überblick zu Vault, AWS Secrets Manager, Azure Key Vault und Google Secret Manager, was Agents hilft, den Skill unterschiedlichen Cloud-Umgebungen zuzuordnen.

Hinweise

Die operative Anleitung ist überwiegend beispielgetrieben und enthält keine Support-Dateien, Skripte oder wiederverwendbaren Regeln, die die Umsetzung mit weniger Interpretationsaufwand ermöglichen würden.
Es werden weder ein Installationsbefehl noch begleitende Ressourcen bereitgestellt; die Einführung hängt daher davon ab, dass Nutzer das Markdown korrekt interpretieren und umgebungsspezifische Details selbst ergänzen.

Security Ci Cd Cicd Vault Aws Azure Gcp

Überblick

Überblick über die secrets-management-Skill

Was die secrets-management-Skill leistet

Die secrets-management-Skill hilft einem Agenten dabei, einen sichereren Umgang mit Secrets in CI/CD-Pipelines zu entwerfen und umzusetzen. Im Mittelpunkt steht, hart codierte Zugangsdaten durch verwaltete Secret Stores wie HashiCorp Vault, AWS Secrets Manager, Azure Key Vault, Google Secret Manager oder native Secret-Funktionen der jeweiligen Plattform zu ersetzen.

Für wen die secrets-management-Skill geeignet ist

Diese secrets-management-Skill eignet sich besonders für Teams, die Delivery-Pipelines aufbauen oder überprüfen, in denen API-Schlüssel, Datenbankpasswörter, Zertifikate, Cloud-Credentials oder andere sensible Konfigurationen vorkommen. Besonders hilfreich ist sie für Platform Engineers, DevOps-Teams, sicherheitsbewusste App-Teams und alle, die Access Control in Automatisierungs-Workflows einführen.

Der eigentliche Job-to-be-done

Die meisten Nutzer wollen nicht einfach nur eine Liste von Secret-Tools. Sie brauchen einen praktikablen Weg von „unsere Pipeline enthält sensible Werte“ zu „unsere CI/CD-Jobs holen zur Laufzeit das richtige Secret mit Least Privilege, Rotation und Auditierbarkeit“. Genau dafür ist diese Skill wertvoll: wenn Sie konkrete Umsetzungsrichtung brauchen und nicht nur allgemeine Security-Prinzipien.

Was diese Skill von einem generischen Prompt unterscheidet

Ein generischer Prompt bleibt oft bei allgemeinen Empfehlungen wie „nutze einen Secret Manager“ stehen. Die secrets-management-Skill ist handlungsnäher, weil sie das Problem entlang realer CI/CD-Anwendungsfälle strukturiert: Secret Storage, Laufzeitabruf, Rotation und anbieterspezifische Optionen. Außerdem enthält sie konkrete Vault-Setups und GitHub-Actions-Muster, wodurch ein Agent schneller brauchbare erste Entwürfe liefern kann.

Best Fit und ungeeignete Einsatzfälle

Nutzen Sie secrets-management, wenn Ihre zentrale Frage lautet, wie sich Delivery-Pipelines und Automatisierung sicher absichern lassen. Weniger passend ist die Skill, wenn Sie eine tiefgehende produktspezifische Produktionsarchitektur für nur eine Plattform, juristische oder Compliance-Auslegung oder ein vollständiges unternehmensweites Secret-Governance-Modell benötigen. In solchen Fällen ist diese Skill ein guter Startpunkt, sollte aber durch Provider-Dokumentation und interne Policy-Vorgaben ergänzt werden.

So nutzen Sie die secrets-management-Skill

Installationskontext für secrets-management

Die Upstream-Skill enthält in SKILL.md keinen eigenen Installationsbefehl. Nutzer eines Skill-Verzeichnisses binden sie deshalb typischerweise über den Repository-Skill-Pfad ein, den ihr Agent-Tooling unterstützt. Wenn Sie eine skills-kompatible CLI verwenden, installieren Sie aus dem Repository, das plugins/cicd-automation/skills/secrets-management enthält, und prüfen Sie anschließend, ob die Skill verfügbar ist, bevor Sie prompten. Unterstützt Ihre Umgebung keine direkte Skill-Installation, kopieren Sie den Skill-Inhalt in die Skill- oder System-Instruction-Ebene Ihres Agenten.

Diese Datei zuerst lesen

Beginnen Sie mit plugins/cicd-automation/skills/secrets-management/SKILL.md. Die Skill ist in sich abgeschlossen, und die Repository-Signale deuten darauf hin, dass es für diese Skill keine zusätzliche README.md, keine resources/, keine rules/ und keine Hilfsskripte gibt. Das heißt: Fast alle nutzbaren Hinweise stehen in der Hauptdatei der Skill. Wenn Sie diese zuerst lesen, haben Sie damit bereits nahezu den kompletten Arbeitskontext.

Welche Eingaben die Skill von Ihnen braucht

Die secrets-management-Skill funktioniert am besten, wenn Sie Folgendes angeben:

Ihre CI/CD-Plattform, zum Beispiel GitHub Actions
Ihre Cloud- oder Laufzeitumgebung
die betroffenen Secret-Typen
ob Rotation erforderlich ist
Ihr aktuelles Access-Control-Modell
ob Sie bereits Vault oder einen cloudnativen Secret Manager einsetzen
Deployment-Einschränkungen, etwa self-hosted Runner oder regulierte Umgebungen

Ohne diesen Kontext liefert der Agent wahrscheinlich eher einen allgemeinen Vergleich als einen umsetzungsreifen Plan.

Ein grobes Ziel in einen brauchbaren Prompt verwandeln

Schwaches Ziel:

„Help me manage secrets in CI.”

Stärkerer Prompt:

“Use the secrets-management skill to propose a GitHub Actions design for deploying an app to AWS without long-lived cloud keys. Recommend whether to use AWS Secrets Manager, GitHub environment secrets, or Vault. Include secret retrieval flow, Access Control boundaries, rotation approach, and example workflow YAML.”

Die stärkere Version sagt dem Agenten, welche Entscheidung er treffen soll, welche Systeme im Scope sind und in welchem Ausgabeformat Sie das Ergebnis brauchen.

Die beste Prompt-Struktur für die Nutzung von secrets-management

Ein hochwertiger Prompt für die secrets-management usage enthält in der Regel:

die aktuelle Plattform
den Ziel-Secret-Store
die Bedrohung oder das Risiko, das reduziert werden soll
den Punkt des Laufzeitabrufs
die Access-Control-Anforderungen
das gewünschte Ausgabeformat

Beispiel:

“Using the secrets-management skill, design a migration from repo-level secrets to Vault for GitHub Actions. We need least-privilege access per environment, auditability, and quarterly rotation. Show the architecture, sample Vault paths, policy approach, and a starter workflow.”

Gerade hier hilft die secrets-management-Skill besonders: Sie hält den Agenten auf einer entscheidungs- und umsetzungsnahen Spur.

Praktischer Workflow, dem Sie folgen sollten

Ein verlässlicher Workflow ist:

identifizieren Sie die Secrets und wo sie aktuell gespeichert sind
wählen Sie das Secret-Backend, das zu Ihrer Plattform und Ihrem Betriebsmodell passt
definieren Sie Access-Control-Grenzen nach App, Umgebung und Pipeline-Phase
entwerfen Sie den Laufzeitabruf statt Build-Time-Hardcoding
ergänzen Sie Erwartungen an Rotation und Widerruf
erzeugen Sie eine Beispielkonfiguration für die Pipeline
prüfen Sie auf zu weit gefasste Berechtigungen und Secret Sprawl

Diese Reihenfolge ist wichtig, weil viele Nutzer direkt bei YAML einsteigen, bevor Zuständigkeiten für Secrets und Zugriff Grenzen sauber geklärt sind.

Orientierung bei der Tool-Auswahl, die die Skill unterstützen kann

Die Skill deckt mehrere Backends ab, aber die Einführung hängt meist an der operativen Last:

HashiCorp Vault: am besten geeignet, wenn Sie zentrale Kontrolle, dynamische Secrets sowie starke Audit- und Access-Policy-Funktionen brauchen
AWS Secrets Manager: ideal, wenn Ihre Workloads ohnehin überwiegend in AWS laufen
Azure Key Vault: gute Wahl für Azure-zentrierte Teams, die RBAC-Integration benötigen
Google Secret Manager: passend für GCP-native Umgebungen
native CI/CD-Secrets: am einfachsten, aber meist weniger flexibel bei Rotation, dynamischen Credentials und übergreifender Governance

Genau an dieser Stelle bringt die secrets-management-Skill den größten Mehrwert: Sie hilft, die Entscheidung an der realen Pipeline auszurichten statt an Tool-Popularität.

Beispielanfragen, die starke Ergebnisse liefern

Fragen Sie zum Beispiel nach:

einem Migrationsplan von hart codierten Env-Variablen zu verwalteten Secrets
einem GitHub-Actions-Workflow, der Secrets zur Laufzeit abruft
einem Vault-Pfad- und Policy-Design für mehrere Umgebungen
einer Rotationsstrategie für Datenbankpasswörter oder API-Tokens
einem Vergleich cloudnativer Secret Stores für Ihren aktuellen Stack

Diese Anfragen passen deutlich besser zum Repository-Inhalt als breite Bitten wie „teach me all secret management.”

Was die Skill gut liefern kann

Der secrets-management guide ist besonders stark bei:

CI/CD-orientierten Mustern für den Umgang mit Secrets
praxisnaher Auswahl des passenden Providers
Vault-Setup-Beispielen
Mustern für den Laufzeitabruf in Pipelines
designorientierter Anleitung zu Least Privilege und Auditierbarkeit

Weniger wahrscheinlich sind produktionsreife Befehle für jeden einzelnen Provider, wenn Sie nicht zusätzlich Ihre exakte Umgebung mitgeben.

Repository-Details, die Sie vor der Einführung kennen sollten

Diese Skill ist kompakt und fokussiert. Das ist gut für eine schnelle Nutzung, bedeutet aber auch: Es gibt nur wenige eingebaute Guardrails, keine Hilfsskripte und nur begrenztes Umsetzungs-Scaffolding jenseits der Beispiele. Rechnen Sie damit, sie als Beschleuniger für Planung und erste Entwürfe zu nutzen und Syntax sowie anbieterspezifische Sicherheitsdetails anschließend gegen die offizielle Dokumentation zu prüfen.

secrets-management-Skill FAQ

Ist die secrets-management-Skill für Einsteiger geeignet?

Ja, sofern Sie bereits verstehen, was eine CI/CD-Pipeline ist und warum Secrets nicht im Source Control liegen sollten. Die Skill liefert eine praktische Ausgangsstruktur. Absolute Einsteiger brauchen unter Umständen trotzdem zusätzliche Hilfe, um IAM, Vault-Authentifizierungsmethoden oder Access-Control-Konzepte auf Umgebungsebene zu verstehen.

Wann sollte ich das statt eines normalen Prompts verwenden?

Nutzen Sie die secrets-management skill, wenn der Agent bei CI/CD-Secret-Handling bleiben soll, statt in allgemeine Security-Ratschläge abzudriften. Das verbessert die Prompt-Disziplin, besonders bei Installations- und Designaufgaben wie der Entscheidung zwischen Vault und einem cloudnativen Manager.

Installiert secrets-management etwas für mich?

Nein. Die Skill liefert Hinweise und Beispiele; sie ist weder ein Installer noch ein Paket für Deployment-Automatisierung. Bei secrets-management install-Entscheidungen sollten Sie sie als Planungsebene verstehen, die Ihnen bei Architekturwahl, Konfigurationsmustern und den nächsten Umsetzungsschritten hilft.

Ist das vor allem für Vault oder für alle Secret-Backends gedacht?

Sie deckt mehrere Backends ab, aber Vault bekommt im Quellinhalt die konkretesten Umsetzungsdetails. Wenn Ihre Umgebung AWS-, Azure- oder GCP-first ist, hilft die Skill trotzdem bei der Entscheidungsfindung, aber Sie sollten explizit nach providerspezifischen Beispielen fragen.

Ist das für Access-Control-Arbeit nützlich?

Ja. secrets-management for Access Control ist einer der stärksten Anwendungsfälle, weil sicherer Secret-Abruf davon abhängt, wer oder was welches Secret abrufen darf. Bitten Sie den Agenten, Secrets nach Umgebung, Workload und Rolle zuzuordnen, damit das Ergebnis Least-Privilege-Grenzen enthält und nicht nur Empfehlungen zur Speicherung.

Wann ist diese Skill die falsche Wahl?

Lassen Sie sie aus, wenn Ihr Bedarf vor allem in einem dieser Bereiche liegt:

Secret-Verschlüsselung auf Anwendungsebene im Code
Ausarbeitung von Compliance-Richtlinien ohne Implementierungsarbeit
fortgeschrittene anbieterspezifische Produktionshärtung ohne CI/CD-Bezug
ein sofort einsetzbares Runbook für die Bereitstellung einer Secret-Plattform

In diesen Fällen ist eine spezialisiertere Skill oder die offizielle Plattformdokumentation die bessere Wahl.

So verbessern Sie die secrets-management-Skill

Geben Sie Systemkontext früh und konkret an

Der schnellste Hebel für bessere Ergebnisse mit secrets-management ist vollständiger Kontext zum umgebenden System:

CI/CD-Plattform
Deployment-Ziel
Secret-Consumer
Umgebungen
bestehender Identity Provider
Access-Control-Anforderungen
Erwartungen an Rotation

So verhindern Sie, dass der Agent nur eine generische „use a secret manager“-Antwort erzeugt.

Fragen Sie nach Architektur plus konkreter Konfiguration

Fragen Sie nicht nur nach Empfehlungen. Fordern Sie zusätzlich:

die Entscheidungsbegründung
ein Secret-Pfad- oder Benennungsschema
Policy-Grenzen
den Laufzeitabruf-Flow
eine Beispielkonfiguration für die Pipeline
Migrationsschritte

Diese Kombination macht aus der secrets-management-Skill statt bloßer Beratung eine umsetzungsnahe Arbeitsgrundlage.

Häufiger Fehlerfall: zu vages Secret-Inventar

Wenn Sie nur sagen „we have some secrets“, wird das Ergebnis schwach ausfallen. Benennen Sie stattdessen die Secret-Klassen:

Cloud-Credentials
Datenbankpasswörter
TLS-Zertifikate
API-Schlüssel von Drittanbietern
Signaturschlüssel

Unterschiedliche Secret-Typen verändern Rotationsstrategie, Abrufzeitpunkt und Backend-Wahl.

Häufiger Fehlerfall: fehlendes Identitätsmodell

Viele schwache Ergebnisse entstehen, weil nicht klar ist, wie sich die Pipeline authentifiziert. Für bessere secrets-management usage sollten Sie angeben, ob Jobs OIDC, statische Credentials, Workload Identity, Service Principals oder Vault-Authentifizierungsmethoden verwenden. Das Design des Secret-Abrufs ist eng an das Identitätsmodell gekoppelt.

Verbessern Sie Prompts mit relevanten Randbedingungen

Nützliche Randbedingungen sind zum Beispiel:

keine langlebigen Credentials
nur self-hosted Runner
Trennung mehrerer Umgebungen
Anforderungen an Audit-Log-Aufbewahrung
Präferenzen hinsichtlich Cloud Lock-in
Bedarf an automatischer Rotation
Vorgabe, Entwicklerzugriff auf Produktions-Secrets zu vermeiden

Solche Constraints erzwingen realistischere Ergebnisse und eine bessere Tool-Auswahl.

Bitten Sie den Agenten, Optionen explizit zu vergleichen

Eine gute Möglichkeit, die secrets-management-Skill besser zu nutzen, ist eine Vergleichstabelle mit Ihrem Kontext. Beispiel:

“Compare Vault, AWS Secrets Manager, and GitHub environment secrets for our GitHub Actions pipeline, with columns for Access Control granularity, rotation, auditability, operational burden, and migration effort.”

Dieses Format macht Trade-offs sichtbar und beschleunigt Einführungsentscheidungen.

Iterieren Sie nach der ersten Antwort

Nach dem ersten Entwurf sollten Sie den Agenten bitten, das Design weiter zu schärfen:

zu weit gefasste Zugriffe entfernen
statische Credentials nach Möglichkeit durch föderierte Auth ersetzen
separate Secret-Pfade für dev/staging/prod anlegen
Rollback- und Secret-Rotations-Handling ergänzen
Secrets identifizieren, die dynamisch statt gespeichert sein sollten

Dieser zweite Durchlauf bringt oft mehr Mehrwert als der erste.

Prüfen Sie Beispiele vor dem Produktionsrollout

Die Skill kann das Design deutlich beschleunigen, trotzdem sollten Sie weiterhin prüfen:

YAML-Syntax
Provider-Authentifizierungsschritte
Vault-Policy-Syntax
Annahmen zur Runner-Umgebung
Hooks für Secret-Rotation
Abdeckung der Audit-Logs

Die Skill eignet sich am besten, um Rätselraten zu reduzieren, nicht um den Security-Review zu überspringen.

Ein starkes finales Prompt-Muster

Für die besten Ergebnisse nutzen Sie einen Prompt wie:

“Use the secrets-management skill to design secure secret handling for our GitHub Actions deployment pipeline. We deploy to AWS, want OIDC-based auth, need separate dev/staging/prod access, quarterly rotation for stored secrets, and no plaintext secrets in repo or workflow files. Recommend the backend, show the secret access model, and provide starter YAML plus a migration checklist.”

Dieser Prompt gibt dem Agenten genug Kontext, um einen praxisnahen secrets-management guide zu liefern statt nur einer allgemeinen Zusammenfassung.

Bewertungen & Rezensionen

Noch keine Bewertungen

Teile deine Rezension

Melde dich an, um für diesen Skill eine Bewertung und einen Kommentar zu hinterlassen.

0/10000

Neueste Rezensionen

Wird gespeichert...

Mehr Skills in dieser Kategorie

azure-identity-py

von microsoft

azure-identity-py hilft dabei, Azure-Authentifizierung in Python mit Microsoft Entra ID einzurichten. Verwenden Sie es, um zwischen DefaultAzureCredential, Managed Identity oder Service-Principal-Authentifizierung zu wählen, Umgebungsvariablen zu konfigurieren und Probleme mit Zugriffskontrolle sowie der Credential-Kette zu beheben. Hinweise zur Installation, Nutzungsmuster und praktische Setup-Notizen basieren auf der Skill-Datei des Repos.

Access Control

Favoriten 0GitHub 2.2k

django-security

von affaan-m

django-security ist ein praxisnaher Leitfaden zum Absichern von Django-Apps mit Authentifizierung, Autorisierung, CSRF, XSS, Schutz vor SQL-Injection, sicheren Cookies und Production-Settings. Er hilft Entwicklern und Reviewern dabei, einen fokussierten Security Audit durchzuführen, riskante Konfigurationen schnell zu erkennen und vor dem Deployment konkrete Korrekturen umzusetzen.

Security Audit

Favoriten 0GitHub 156.1k

detecting-anomalous-authentication-patterns

von mukul975

detecting-anomalous-authentication-patterns hilft bei der Analyse von Authentifizierungs-Logs auf Impossible Travel, Brute Force, Password Spraying, Credential Stuffing und Aktivitäten kompromittierter Konten. Entwickelt für Security Audit-, SOC-, IAM- und Incident-Response-Workflows mit baselinebewusster Erkennung und belegter Sign-in-Analyse.

Security Audit

Favoriten 0GitHub 0

auditing-kubernetes-cluster-rbac

von mukul975

auditing-kubernetes-cluster-rbac hilft dabei, Kubernetes-RBAC auf zu weit gefasste Rollen, riskante Bindings, Secret-Zugriffe und Privileg-Eskalationspfade zu prüfen. Es ist für Security-Audit-Workflows in EKS-, GKE-, AKS- und selbst verwalteten Clustern ausgelegt und bietet praxisnahe Anleitungen für kubectl, rbac-tool, KubiScan und Kubeaudit.

Security Audit

Favoriten 0GitHub 0

auditing-gcp-iam-permissions

von mukul975

auditing-gcp-iam-permissions hilft dabei, Google Cloud IAM-Zugriffe auf riskante Bindungen, primitive Rollen, öffentlichen Zugriff, Offenlegung von Service Accounts und projektübergreifende Pfade zu prüfen. Dieser Skill für Zugriffs- und Berechtigungs-Audits ist auf evidenzbasierte Reviews mit gcloud, Cloud Asset, IAM Recommender und Policy Analyzer ausgelegt.

Access Control

Favoriten 0GitHub 0

auditing-aws-s3-bucket-permissions

von mukul975

Der Skill `auditing-aws-s3-bucket-permissions` hilft dir dabei, AWS S3-Buckets auf öffentliche Exponierung, zu weit gefasste ACLs, schwache Bucket-Policies und fehlende Verschlüsselung zu prüfen. Er ist für Security-Audit-Workflows ausgelegt und unterstützt eine wiederholbare Prüfung nach dem Least-Privilege-Prinzip mit AWS-CLI- und boto3-orientierten Hinweisen sowie praktischen Installations- und Nutzungshinweisen.

Security Audit

Favoriten 0GitHub 0

configuring-microsegmentation-for-zero-trust

von mukul975

Das Skill „configuring-microsegmentation-for-zero-trust“ hilft dabei, Least-Privilege-Richtlinien zwischen Workloads für Zero-Trust-Umgebungen zu entwerfen und zu validieren. Nutzen Sie diesen Leitfaden, um Anwendungen zu segmentieren, laterale Bewegungen zu reduzieren und beobachteten Traffic in durchsetzbare Regeln für Security Audit und Betrieb zu überführen.

Security Audit

Favoriten 0GitHub 0

security-scan

von affaan-m

Das security-scan-Skill prüft deine Claude Code-.claude/-Konfiguration mit AgentShield auf Secrets, riskante MCP-Konfigurationen, anfällige Anweisungen für Injection, gefährliche Bypass-Flags sowie schwache Agent- oder Hook-Definitionen. Es eignet sich für wiederholbare Sicherheitsprüfungen vor dem Commit oder beim Onboarding.

Security Audit

Favoriten 0GitHub 156.3k

laravel-security

von affaan-m

Das laravel-security Skill ist eine praxisnahe Laravel-Sicherheits-Checkliste für Authentifizierung/Autorisierung, Validierung, CSRF, Mass Assignment, Datei-Uploads, Secrets, Rate Limiting und sichere Bereitstellung. Verwenden Sie es für Audits, Feature-Reviews und Hardening-Arbeiten in Laravel-Apps.

Security Audit

Favoriten 0GitHub 156.2k

git-guardrails-claude-code

von mattpocock

git-guardrails-claude-code ergänzt einen PreToolUse-Hook, der gefährliche Git-Befehle blockiert, bevor Claude Code sie ausführt. Installiere es, um destruktive Pushes, harte Resets, erzwungenes Cleanen und das Löschen von Branches zu verhindern – mit gezielter Steuerung für dieses Projekt oder alle Projekte. Nützlich, wenn du git-guardrails-claude-code für Access-Control-Grenzen in Claude Code brauchst.

Access Control

Favoriten 0GitHub 66k

k8s-security-policies

von wshobson

k8s-security-policies unterstützt Teams dabei, Kubernetes NetworkPolicy, Pod Security Standards-Labels und RBAC-Muster mit vorlagen- und referenzbasierten Repo-Inhalten zu entwerfen – für Härtung und auditfähige Rollout-Planung.

Security Audit

Favoriten 0GitHub 32.6k

auth-implementation-patterns

von wshobson

auth-implementation-patterns ist ein praxisnaher Skill für die Konzeption und Implementierung von Authentifizierungs- und Autorisierungsmustern, einschließlich Sessions, JWT, OAuth2/OIDC, RBAC und Zugriffskontrollen für APIs und Anwendungen.

Access Control

Favoriten 0GitHub 32.6k

security-and-hardening

von addyosmani

Das Skill security-and-hardening hilft dabei, Anwendungscode vor dem Release abzusichern. Verwende es für Benutzereingaben, Authentifizierung, Sitzungen, sensible Daten, Datei-Uploads, Webhooks und externe Dienste — mit konkreten Prüfungen wie Eingabevalidierung, parametrierten Abfragen, Ausgabe-Codierung, sicheren Cookies, HTTPS und dem Umgang mit Secrets.

Security Audit

Favoriten 0GitHub 18.7k

exploiting-kerberoasting-with-impacket

von mukul975

exploiting-kerberoasting-with-impacket unterstützt autorisierte Tester bei der Planung von Kerberoasting mit Impacket GetUserSPNs.py – von der SPN-Aufzählung über das Extrahieren von TGS-Tickets bis hin zu Offline-Cracking und erkennungsbewusster Berichterstattung. Nutzen Sie diesen exploiting-kerberoasting-with-impacket-Leitfaden für Penetrationstests mit klarem Installations- und Nutzungskontext.

Penetration Testing

Favoriten 0GitHub 6.2k

exploiting-idor-vulnerabilities

von mukul975

exploiting-idor-vulnerabilities unterstützt autorisierte Sicherheitsaudits beim Testen von Insecure Direct Object Reference-Schwachstellen in APIs, Webanwendungen und Multi-Tenant-Systemen – mit Cross-Session-Prüfungen, Objektzuordnung sowie Lese-/Schreibverifikation.

Security Audit

Favoriten 0GitHub 6.2k

detecting-azure-service-principal-abuse

von mukul975

detecting-azure-service-principal-abuse hilft dabei, verdächtige Aktivitäten von Microsoft Entra ID Service Principals in Azure zu erkennen, zu untersuchen und zu dokumentieren. Nutzen Sie es für Security Audits, Cloud Incident Response und Threat Hunting, um Änderungen an Anmeldeinformationen, Missbrauch von Admin-Zustimmungen, Rollenzuweisungen, Besitzpfade und Anomalien bei Anmeldungen zu prüfen.

Security Audit

Favoriten 0GitHub 6.1k