security-review

von affaan-m

Nutze die security-review Skill, um Authentifizierung, Nutzereingaben, Secrets, APIs, Zahlungen, Uploads und andere sensible Abläufe zu prüfen. Sie bietet einen praxisnahen Leitfaden für Security-Reviews mit klaren Pass-/Fail-Prüfpunkten, Beispielen riskanter Muster und einem fokussierten Ablauf, um typische Schwachstellen vor dem Release zu finden.

Stars156.3k

Favoriten0

Kommentare0

Hinzugefügt15. Apr. 2026

KategorieSecurity Audit

Installationsbefehl

npx skills add affaan-m/everything-claude-code --skill security-review

Kurationswert

Diese Skill erreicht 84/100 und ist damit ein solider Kandidat für das Verzeichnis: Nutzer erhalten einen klar auslösbaren Security-Review-Workflow mit genug konkreter Orientierung, um Spekulationen zu reduzieren. Allerdings fehlen noch einige Hilfen für die Einführung, etwa ein Installationskommando und unterstützende Referenzdateien.

84/100

Stärken

Explizite Aktivierungs-Trigger decken typische sicherheitskritische Aufgaben wie Auth, Secrets, Nutzereingaben, APIs und Zahlungen ab.
Der Skill-Text ist umfangreich und praxisorientiert, mit Checklisten-Schritten sowie Pass-/Fail-Beispielen, denen Agenten direkt folgen können.
Die Repository-Nachweise zeigen echten Workflow-Inhalt statt eines Platzhalters: gültiges Frontmatter, eine lange SKILL.md, Code-Fences und ein ergänzendes Cloud-Sicherheitsdokument.

Hinweise

Kein Installationskommando und keine Support-Dateien (Skripte, Referenzen, Ressourcen oder Regeln), daher stecken Setup- und Wiederverwendungs-Hinweise größtenteils im Fließtext.
Das Repository scheint zwar eine breite Checklisten-Abdeckung zu bieten, aber nur begrenzte Hinweise auf tiefere Einschränkungen oder Automatisierung für eine konsistente Ausführung.

Security Authentication Access Control API Webhooks Payment Processing Cloud Aws

Überblick

Überblick über die security-review skill

Die security-review skill ist ein praktischer Prüfhelfer, um häufige Anwendungssicherheitsprobleme zu finden, bevor sie ausgeliefert werden. Sie eignet sich besonders für Entwickler und KI-Agenten, die an Authentifizierung, Nutzereingaben, Secrets, APIs, Zahlungen, Uploads oder anderen sensiblen Abläufen arbeiten, bei denen ein allgemeiner Prompt zu vage ist und ein übersehener Fehler teuer werden kann.

Die eigentliche Aufgabe ist keine abstrakte „Sicherheitstheorie“, sondern eine Codeänderung in eine gezielte Sicherheitsprüfung mit klaren Bestehens-/Nichtbestehens-Kriterien zu übersetzen. Diese security-review skill ist besonders nützlich, wenn Sie eine schnelle, strukturierte Prüfung möchten, die riskante Defaults, fehlende Validierung und Fehler im Umgang mit Secrets aufdeckt, ohne dass Sie dafür erst eine Checkliste von Grund auf zusammenstellen müssen.

Was die security-review skill nützlich macht

Im Vergleich zu einem einmaligen Prompt liefert die security-review skill einen wiederholbaren Prüfrahmen: wann sie aktiviert werden sollte, was zuerst zu prüfen ist und welche Fehlermodi am wichtigsten sind. Außerdem enthält sie explizite Beispiele für unsichere gegenüber sicheren Mustern, was hilft, wenn Sie Code über unterschiedliche Stacks hinweg prüfen.

Am besten geeignete Anwendungsfälle

Nutzen Sie security-review für Security-Audit-Aufgaben bei:

Login-, Session- oder Autorisierungslogik
Formularen, Uploads, Query-Parametern und anderem nicht vertrauenswürdigem Input
API-Routen, die sensible Daten speichern, ausgeben oder transformieren
Secret-Zugriff, Umgebungsvariablen und Deployment-Konfiguration
Zahlungs- oder Drittanbieter-Integrationscode, bei dem Missbrauch nicht trivial ist

Was Sie davon erwarten können

Diese skill ist am stärksten, wenn Sie eine fokussierte Prüfung statt eines vollständigen Pen-Tests möchten. Sie hilft Ihnen zu erkennen, ob die grundlegenden Sicherheitsmechanismen vorhanden sind, ob die Implementierung offensichtlich unsicher ist und was als Nächstes zu prüfen ist, wenn die erste Prüfung Lücken findet.

Wie man die security-review skill verwendet

Installieren und im Kontext platzieren

Installieren Sie die security-review skill mit:

npx skills add affaan-m/everything-claude-code --skill security-review

Verwenden Sie sie, wenn die Aufgabe sicherheitskritisch ist, nicht bei jeder Routine-Refaktorierung. Die besten Ergebnisse erzielen Sie, wenn Sie die Anfrage als Prüfung einer konkreten Änderung, Route, Komponente oder Funktion formulieren, nicht als pauschales „prüf meine App“.

Zuerst die richtigen Dateien lesen

Beginnen Sie bei einer security-review-Installation mit SKILL.md und prüfen Sie anschließend nahe gelegene Repo-Hinweise wie README.md, AGENTS.md, metadata.json sowie verlinkte Ordner oder Begleitdokumente. In diesem Repo sind die relevantesten Quelldateipfade SKILL.md und cloud-infrastructure-security.md.

Wenn Sie die skill in Ihren eigenen Workflow übernehmen, lesen Sie zuerst die Skill-Datei, um die Aktivierungskriterien zu verstehen, und übertragen Sie diese Prüfungen dann auf die tatsächlichen Authentifizierungs-, Validierungs- und Deployment-Muster Ihrer Codebasis.

Der skill einen prüfungsnahen Prompt geben

Ein starker Prompt nennt die Angriffsfläche, die Bedrohung und das gewünschte Ergebnis. Zum Beispiel:

„Prüfe diesen Signup-Flow auf Auth-Bypass, schwache Validierung und Secret-Leaks.“
„Untersuche diese API-Route auf Injection-Risiken, Broken Access Control und unsichere Fehlerbehandlung.“
„Prüfe diesen Payment-Webhook-Handler und liste die konkreten Sicherheitsprobleme inklusive Fixes auf.“

Das ist besser als „mach eine Security-Prüfung“, weil es dem security-review usage-Ablauf sagt, worauf er priorisieren soll und nach welchen Belegen er suchen muss.

Von einem groben Ziel zu einer umsetzbaren Prüfung arbeiten

Ein guter security-review guide-Workflow ist:

Benennen Sie die Funktion und die betroffenen sensiblen Daten.
Teilen Sie die relevanten Dateien oder den Diff.
Bitten Sie um eine nach Risiko sortierte Liste von Findings.
Fordern Sie konkrete Fix-Vorschläge oder gepatchten Code an.

Wenn die Ausgabe handlungsorientierter sein soll, ergänzen Sie Constraints wie Framework, Runtime und Deployment-Umgebung, denn Muster für Secret-Handling und Validierung unterscheiden sich je nach Stack.

security-review skill FAQ

Ist die security-review skill nur für Experten?

Nein. Sie ist auch für Einsteiger nützlich, weil sie vage Sicherheitsbedenken in konkrete Prüfungen übersetzt. Die skill hilft besonders dann, wenn Sie wissen, dass eine Funktion sensibel ist, aber nicht sicher sind, welche Fehlermodi am wichtigsten sind.

Worin unterscheidet sie sich von einem normalen Prompt?

Ein normaler Prompt liefert oft allgemeine Ratschläge. Die security-review skill ist besser, wenn Sie einen wiederholbaren Prüfprozess mit klaren Auslösern, expliziten „das bitte nicht so machen“-Mustern und praktischen Verifikationsschritten brauchen, die sich auf echten Code anwenden lassen.

Wann sollte ich sie nicht verwenden?

Verwenden Sie security-review nicht für risikoarme kosmetische Änderungen oder einfache interne Refaktorierungen ohne Auswirkungen auf Authentifizierung, Input, Secrets oder externe Integrationen. Sie ersetzt außerdem keine vollständige Sicherheitsprüfung, keinen Penetrationstest und keine Compliance-Prüfung, wenn diese erforderlich sind.

Passt sie auch für Nicht-Node-Projekte?

Ja, die Grundideen sind breit übertragbar, aber Sie sollten die Beispiele an Ihren Stack anpassen. Die skill ist am stärksten, wenn Sie ihre Prüflogik in die Validierungs-, Secret-Speicher- und Zugriffskontrollkonventionen Ihres Frameworks übersetzen.

Wie man die security-review skill verbessert

Geben Sie den riskanten Pfad an, nicht die ganze App

Die besten Ergebnisse kommen von einem eng abgegrenzten Ziel: ein Endpoint, ein Auth-Flow, ein Webhook oder ein Upload-Pfad. Wenn Sie ein ganzes Repo übergeben, wird die Prüfung schnell oberflächlich. Für security-review for Security Audit gilt: Umfang schlägt Menge.

Fügen Sie konkrete Einschränkungen und Bedrohungskontext hinzu

Stärkere Eingaben nennen:

welche Daten sensibel sind
wer die Funktion aufrufen kann
welche externen Systeme beteiligt sind
ob der Code öffentlich oder intern ist
was Sie bereits für schwach halten

So kann sich die skill auf die richtige Fehlerklasse konzentrieren, statt Aufmerksamkeit auf irrelevante Themen zu verschwenden.

Bitten Sie um Fixes, die zu Ihrem Stack passen

Wenn Sie bessere Ergebnisse wollen, fordern Sie die Ausgabe in denselben Begriffen an, die Ihr Codebase verwendet: Middleware-Namen, Schema-Validatoren, Umgebungsvariablen-Muster oder Schritte zur Webhook-Verifikation. Die security-review skill ist am nützlichsten, wenn sie Empfehlungen direkt auf Code abbilden kann, den Sie ändern können.

Nach dem ersten Durchlauf iterieren

Behandeln Sie die erste Prüfung als Triage-Schritt. Wenn sie ein Problem findet, bitten Sie darum, dieselben Dateien erneut auf verwandte Probleme wie Autorisierungsdrift, unsichere Defaults oder fehlendes Logging zu prüfen. Wenn sie nichts findet, grenzen Sie den Umfang weiter ein und reichen Sie nur den sensiblen Pfad erneut ein, damit das security-review usage fokussiert und signalstark bleibt.

Bewertungen & Rezensionen

Noch keine Bewertungen

Teile deine Rezension

Melde dich an, um für diesen Skill eine Bewertung und einen Kommentar zu hinterlassen.

0/10000

Neueste Rezensionen

Wird gespeichert...

Mehr Skills in dieser Kategorie

django-security

von affaan-m

django-security ist ein praxisnaher Leitfaden zum Absichern von Django-Apps mit Authentifizierung, Autorisierung, CSRF, XSS, Schutz vor SQL-Injection, sicheren Cookies und Production-Settings. Er hilft Entwicklern und Reviewern dabei, einen fokussierten Security Audit durchzuführen, riskante Konfigurationen schnell zu erkennen und vor dem Deployment konkrete Korrekturen umzusetzen.

Security Audit

Favoriten 0GitHub 156.1k

supabase-postgres-best-practices

von supabase

supabase-postgres-best-practices ist eine Skill für die Optimierung von Supabase Postgres – für Query-Tuning, Indexing, Schema-Design, RLS-Performance, Locking und Verbindungsmanagement.

Database Engineering

Favoriten 0GitHub 1.7k

audit-website

von squirrelscan

Die Skill audit-website nutzt die `squirrel` CLI, um Websites und Webapps anhand von über 230 Regeln in den Bereichen SEO, Technik, Inhalte, Performance, Sicherheit, Links und Site-Health zu prüfen und anschließend umsetzbare, LLM-taugliche Reports bereitzustellen.

UX Audit

Favoriten 0GitHub 68

skill-comply

von affaan-m

skill-comply ist eine Skill zur Compliance-Prüfung, die in realen Läufen überprüft, ob ein Agent einer Skill-, Regel- oder Agentendefinition folgt. Sie generiert Spezifikationen aus Markdown, führt drei Stufen von Prompt-Striktheit aus, klassifiziert Tool-Call-Timelines und berichtet Compliance-Raten mit Belegen. Nützlich für skill-comply für Compliance-Review.

Compliance Review

Favoriten 0GitHub 156.3k

security-scan

von affaan-m

Das security-scan-Skill prüft deine Claude Code-.claude/-Konfiguration mit AgentShield auf Secrets, riskante MCP-Konfigurationen, anfällige Anweisungen für Injection, gefährliche Bypass-Flags sowie schwache Agent- oder Hook-Definitionen. Es eignet sich für wiederholbare Sicherheitsprüfungen vor dem Commit oder beim Onboarding.

Security Audit

Favoriten 0GitHub 156.3k

perl-security

von affaan-m

perl-security hilft dir dabei, Perl-Code auf sicherere Eingabehandhabung, Taint Mode, Shell-Ausführung, DBI-Placeholders und Web-Sicherheitsprobleme wie XSS, SQLi und CSRF zu prüfen. Nutze dieses perl-security Skill für Security-Audit-Arbeiten, Maßnahmenplanung und sichere Entwicklung, wenn benutzerkontrollierte Daten in sensible Sinks gelangen.

Security Audit

Favoriten 0GitHub 156.2k

laravel-security

von affaan-m

Das laravel-security Skill ist eine praxisnahe Laravel-Sicherheits-Checkliste für Authentifizierung/Autorisierung, Validierung, CSRF, Mass Assignment, Datei-Uploads, Secrets, Rate Limiting und sichere Bereitstellung. Verwenden Sie es für Audits, Feature-Reviews und Hardening-Arbeiten in Laravel-Apps.

Security Audit

Favoriten 0GitHub 156.2k

healthcare-eval-harness

von affaan-m

healthcare-eval-harness ist ein Evaluierungs-Harness für Patientensicherheit bei Healthcare-App-Deployments. Er hilft Teams dabei, vor der Freigabe die Genauigkeit von CDSS, PHI-Offenlegung, Datenintegrität, das Verhalten klinischer Workflows und die Einhaltung von Integrationsvorgaben zu überprüfen. Kritische Fehler blockieren das Deployment, wodurch sich healthcare-eval-harness gut als Sicherheitsschranke für Model Evaluation und CI eignet.

Model Evaluation

Favoriten 0GitHub 156.2k

github-ops

von affaan-m

github-ops ist ein Skill für GitHub-Operationen zum Triage von Issues, Verwalten von PRs, Prüfen von CI-Fehlern, Vorbereiten von Releases und Überwachen der Repository-Gesundheit mit der gh CLI. Nutze den github-ops Skill, wenn du wiederholbare github-ops-Anwendungen für ein echtes Repository brauchst, mit Authentifizierung über `gh auth login` und klarem Repo-Kontext.

Github

Favoriten 0GitHub 156.2k

ecc-tools-cost-audit

von affaan-m

ecc-tools-cost-audit ist ein evidenzorientierter Audit-Skill für Kosten-Spikes, unkontrollierte PR-Erstellung, Quota-Umgehung, Leaks durch Premium-Modelle und doppelte Jobs in ECC Tools. Verwenden Sie ihn für Backend-Development-Untersuchungen, die eine Anfrage vom Webhook über den Worker bis zur Billing-Entscheidung nachverfolgen und belegen, wo Kosten entstehen.

Backend Development

Favoriten 0GitHub 156.1k

defi-amm-security

von affaan-m

defi-amm-security ist eine gezielte Security-Checkliste für Solidity-AMMs, Liquidity Pools, LP-Vaults und Swap-Flows. Sie hilft Auditoren und Engineers dabei, Reentrancy, CEI-Reihenfolge, Donation- oder Inflationsangriffe, Oracle-Annahmen, Slippage, Admin-Controls und Integer-Mathematik mit deutlich weniger Rätselraten zu prüfen als bei einem allgemeinen Prompt.

Security Audit

Favoriten 0GitHub 156.1k

code-reviewer

von Shubhamsaboo

code-reviewer ist eine KI-Skill für Code-Reviews mit einer festen Prüf-Reihenfolge: Sicherheit, Performance, Korrektheit und Wartbarkeit. Sie nutzt Regeldateien für SQL injection, XSS, N+1 queries, error handling, naming und type hints und macht PR-Reviews damit konsistenter als ein allgemeiner Review-Prompt.

Code Review

Favoriten 0GitHub 104.2k

stride-analysis-patterns

von wshobson

stride-analysis-patterns hilft Agents dabei, eine strukturierte STRIDE-Bedrohungsmodellierung für Architekturen, APIs und Datenflüsse durchzuführen. Installieren Sie den Skill aus dem Repo wshobson/agents, lesen Sie die Datei `SKILL.md` und nutzen Sie ihn, um Systembeschreibungen in kategorisierte Bedrohungen und kontrollorientierte Review-Ergebnisse zu überführen.

Threat Modeling

Favoriten 0GitHub 32.6k

anti-reversing-techniques

von wshobson

anti-reversing-techniques ist eine Reverse-Engineering-Skill für autorisierte Malware-Analysen, CTF-Aufgaben, die Ersteinschätzung gepackter Binärdateien und Security-Audits. Sie hilft dabei, Muster für Anti-Debugging, Anti-VM, Packing und Obfuskation zu erkennen und anschließend mit der Core-Skill und der erweiterten Referenz einen praxisnahen Analyse-Workflow zu wählen.

Security Audit

Favoriten 0GitHub 32.6k

k8s-security-policies

von wshobson

k8s-security-policies unterstützt Teams dabei, Kubernetes NetworkPolicy, Pod Security Standards-Labels und RBAC-Muster mit vorlagen- und referenzbasierten Repo-Inhalten zu entwerfen – für Härtung und auditfähige Rollout-Planung.

Security Audit

Favoriten 0GitHub 32.6k

security

von markdown-viewer

Das Security-Skill erstellt PlantUML-Sicherheitsarchitekturdiagramme mit AWS-Stencils für Identität, Verschlüsselung, Firewalling, Compliance und Bedrohungserkennung. Es eignet sich für IAM-Flows, Zero-Trust-Designs, Verschlüsselungspipelines, Security-Audit-Diagramme und dokumentationsreife Reviews. Es ist nicht für allgemeine Cloud-Infrastruktur oder generelles UML-Modelling gedacht.

Security Audit

Favoriten 0GitHub 1.1k