spec-to-code-compliance

von trailofbits

spec-to-code-compliance prüft, ob Code für Blockchain-Audits und Compliance-Prüfungen exakt mit schriftlichen Spezifikationen übereinstimmt. Verwenden Sie die spec-to-code-compliance Skill, um Whitepapers, Design-Dokumente und Implementierungen zu vergleichen, fehlendes Verhalten zu identifizieren und nicht dokumentierte oder abweichende Logik zu kennzeichnen.

Stars5k

Favoriten0

Kommentare0

Hinzugefügt7. Mai 2026

KategorieCompliance Review

Installationsbefehl

npx skills add trailofbits/skills --skill spec-to-code-compliance

Kurationswert

Diese Skill erreicht 78/100 und ist damit eine solide Option für Verzeichniseinträge, die Spec-to-Code-Compliance-Prüfungen für Blockchain-Audits benötigen. Sie bietet genug Workflow-Struktur, Trigger-Hinweise und Ausgabevorgaben, um die Unsicherheit gegenüber einem generischen Prompt zu reduzieren. Gleichzeitig sollten Nutzer weiterhin einen eher spezialisierten, dokumentationslastigen Prozess erwarten.

78/100

Stärken

Klare Anwendungsfälle und konkrete Auslöser für den Abgleich von Code mit Spezifikationen, Whitepapers und Protokolldokumenten.
Starke operative Anleitung durch Checkliste sowie erforderliche IR-/Ausgabeformate, einschließlich Vollständigkeitsschwellen und Anforderungen an Belege auf Zeilenebene.
Umfangreicher Inhalt ohne Platzhalter mit mehreren unterstützenden Ressourcen, was auf einen echten Workflow statt einer Demo oder eines Stubs hinweist.

Hinweise

Stark auf Blockchain- und Spezifikations-Compliance spezialisiert, daher kein allgemeiner Skill für Code-Reviews oder das Finden von Schwachstellen.
Es werden kein Installationsbefehl und keine skriptbasierte Automatisierung bereitgestellt, sodass die Nutzung davon abhängt, dass Anwender dem beschriebenen Workflow sorgfältig folgen.

Blockchain Smart Contracts Audit Compliance Documentation Specification Developer Audience

Überblick

Überblick über die spec-to-code-compliance-Fähigkeit

spec-to-code-compliance ist eine spezialisierte Audit-Fähigkeit, um zu prüfen, ob Code eine schriftliche Spezifikation exakt umsetzt. Sie eignet sich besonders für Blockchain- und Protokollteams, die nachvollziehbare Compliance-Prüfungen brauchen, nicht für allgemeine Code-Reviews. Nutzen Sie die spec-to-code-compliance-Fähigkeit, wenn Sie sowohl die Spezifikation als auch die Implementierung vorliegen haben und eine harte Frage beantworten müssen: Was ist implementiert, was fehlt, und wo weicht das Verhalten, die Invarianten oder die Sicherheitsgarantie ab?

Wofür diese Fähigkeit gedacht ist

Diese Fähigkeit ist für die Analyse der Übereinstimmung zwischen Spezifikation und Code konzipiert, besonders bei Smart Contracts, Protokolllogik und anderen sicherheitskritischen Codebases mit formaler Dokumentation. Sie hilft, Lücken zwischen Whitepaper, Design-Dokumenten und Code aufzudecken, darunter ausgelassene Workflows, veränderte Annahmen, undokumentiertes Verhalten und unvollständige Sicherheitsdurchsetzung.

Für wen sie am besten passt

Sie passt besonders gut zu Auditoren, Protokollingenieuren, Sicherheitsprüfern und technischen PMs, die sich auf eine Compliance Review vorbereiten. Wenn Sie das beabsichtigte Verhalten vor dem Launch mit dem laufenden Code abgleichen müssen, bietet Ihnen diese Fähigkeit einen deutlich disziplinierteren Workflow als ein normaler Prompt.

Der wichtigste Unterschied

Der Hauptvorteil von spec-to-code-compliance ist die Nachvollziehbarkeit: Die Analyse wird auf explizite Spezifikations-Extraktion, Code-Belege und Abgleichprüfungen ausgerichtet. Dadurch ist sie verlässlicher, als eine KI in einem einzigen Durchlauf einfach „den Code prüfen“ zu lassen.

spec-to-code-compliance-Fähigkeit verwenden

Installieren und aktivieren

Verwenden Sie den Installationspfad des Repos für die Fähigkeit und verweisen Sie das Modell dann auf die konkrete Codebasis und die Spezifikationsdokumente, die geprüft werden sollen. Eine typische Installation von spec-to-code-compliance startet mit dem Plugin-Pfad in trailofbits/skills und wird dann in einem Repo ausgeführt, das sowohl Dokumentation als auch Quellcode enthält.

Geben Sie der Fähigkeit die richtigen Eingaben

Für eine gute Nutzung von spec-to-code-compliance sollten Sie Folgendes angeben:

die Spezifikationsquelle oder -quellen
die Ziel-Codebasis oder den Commit
den exakten Umfang, etwa einen einzelnen Contract, ein Modul oder einen Protokollablauf
bekannte Ausschlüsse, Annahmen oder Prüfkriterien

Eine schwache Anfrage lautet: „Prüf mal, ob das compliant ist.“
Eine stärkere Anfrage lautet: „Vergleiche docs/whitepaper.md und contracts/Router.sol hinsichtlich Swap-Slippage, Deadline-Handling und Autorisierung und markiere jedes Verhalten, das von der Spezifikation nicht abgedeckt wird.“

Lesen Sie zuerst diese Dateien

Beginnen Sie mit SKILL.md und lesen Sie dann resources/OUTPUT_REQUIREMENTS.md, resources/COMPLETENESS_CHECKLIST.md und resources/IR_EXAMPLES.md. Diese Dateien zeigen, was die Fähigkeit extrahieren soll, wie Vollständigkeit bewertet wird und wie ein gutes Compliance-Protokoll aussieht.

Workflow für bessere Ergebnisse

Ein praktikabler Leitfaden für spec-to-code-compliance ist:

die Spezifikationsabschnitte mit Anforderungen, Invarianten und Workflows identifizieren
jede Anforderung den exakten Funktionen, Modifiern und Statusänderungen im Code zuordnen
jede Abweichung, jeden fehlenden Zweig und jede undokumentierte Annahme notieren
nach Schweregrad und Vertrauensgrad zusammenfassen, nicht nach der Menge der Funde

Der größte Qualitätsgewinn entsteht, wenn Sie das geprüfte Verhalten präzise eingrenzen. Wenn Sie den Scope auf einen Flow, einen Contract oder eine Menge von Invarianten beschränken, wird die Ausgabe meist schärfer und leichter verifizierbar.

FAQ zur spec-to-code-compliance-Fähigkeit

Ist spec-to-code-compliance nur für Blockchain-Code gedacht?

Nein, aber die Fähigkeit ist klar auf Blockchain- und Protokolldokumentation optimiert. Wenn Ihr Projekt keine formalen Spezifikationen, Whitepaper oder Design-Dokumente hat, ist die Fähigkeit in der Regel das falsche Werkzeug.

Worin unterscheidet sie sich von einem normalen Code-Review-Prompt?

Ein normaler Prompt kann Fehler finden oder Code zusammenfassen. spec-to-code-compliance ist für eine Compliance Review gedacht: Es prüft, ob die Implementierung der dokumentierten Absicht entspricht, einschließlich Auslassungen und nicht passenden Zusagen.

Brauchen Einsteiger Audit-Erfahrung, um sie zu nutzen?

Nein. Einsteiger können die spec-to-code-compliance-Fähigkeit verwenden, wenn sie Spezifikation und Code klar bereitstellen können. Die wichtigste Voraussetzung ist nicht Expertise, sondern eine gute Auswahl der Quellen und eine klar begrenzte Frage.

Wann sollte ich sie nicht verwenden?

Verwenden Sie sie nicht, wenn Sie nur Dokumentation schreiben wollen, breit nach Schwachstellen suchen oder fremden Code allgemein verstehen möchten. Wenn es keine autoritative Spezifikation gibt, wird die Analyse weniger aussagekräftig und der Fit ist schwach.

spec-to-code-compliance-Fähigkeit verbessern

Konzentrieren Sie sich auf die wichtigsten Spezifikationsaussagen

Für bessere spec-to-code-compliance-Ergebnisse priorisieren Sie Anforderungen mit Nutzerwirkung, Sicherheitswirkung oder wirtschaftlicher Wirkung: Invarianten, Rollen, Vertrauensgrenzen, Zustandsübergänge und ausdrückliche MUST-/NEVER-Formulierungen. Genau diese Aussagen beeinflussen am ehesten Entscheidungen in der Compliance Review.

Geben Sie konkrete Beleggrenzen vor

Nennen Sie dem Modell nach Möglichkeit die exakten Dokumentnamen, Codepfade und den Commit oder Tag. Wenn die Prüfung Test-Helper, Admin-Skripte oder nicht verwandte Module ignorieren soll, sagen Sie das vorab. Klare Grenzen reduzieren falsche Lücken und halten die Analyse auf der beabsichtigten Implementierungsfläche.

Achten Sie auf die typischen Fehlermuster

Die üblichen Schwachstellen sind implizite Spezifikationsaussagen, versteckte Zustandsübergänge und Teilübereinstimmungen, die auf den ersten Blick korrekt wirken. Wenn der erste Durchlauf unklar bleibt, bitten Sie um eine engere Abgleichstabelle, die jede Spezifikationsaussage einer Code-Position zuordnet oder sie als nicht implementiert markiert.

Iterieren Sie mit einem präziseren zweiten Durchlauf

Wenn die erste Ausgabe zu breit ist, verfeinern Sie den Prompt mit einer dieser Formulierungen:

„Prüfe nur Autorisierung und Upgrade-Pfade“
„Vergleiche die Gebührenformel mit den Formeln aus der Spezifikation“
„Liste alle Spezifikationsaussagen auf, für die es keinen Code-Gegenpart gibt“

Ein solcher Follow-up macht aus spec-to-code-compliance ein präzises Verifikations-Workflow statt nur ein Zusammenfassungswerkzeug.

Bewertungen & Rezensionen

Noch keine Bewertungen

Teile deine Rezension

Melde dich an, um für diesen Skill eine Bewertung und einen Kommentar zu hinterlassen.

0/10000

Neueste Rezensionen

Wird gespeichert...

Mehr Skills in dieser Kategorie

security-review

von affaan-m

Nutze die security-review Skill, um Authentifizierung, Nutzereingaben, Secrets, APIs, Zahlungen, Uploads und andere sensible Abläufe zu prüfen. Sie bietet einen praxisnahen Leitfaden für Security-Reviews mit klaren Pass-/Fail-Prüfpunkten, Beispielen riskanter Muster und einem fokussierten Ablauf, um typische Schwachstellen vor dem Release zu finden.

Security Audit

Favoriten 0GitHub 156.3k

django-security

von affaan-m

django-security ist ein praxisnaher Leitfaden zum Absichern von Django-Apps mit Authentifizierung, Autorisierung, CSRF, XSS, Schutz vor SQL-Injection, sicheren Cookies und Production-Settings. Er hilft Entwicklern und Reviewern dabei, einen fokussierten Security Audit durchzuführen, riskante Konfigurationen schnell zu erkennen und vor dem Deployment konkrete Korrekturen umzusetzen.

Security Audit

Favoriten 0GitHub 156.1k

codeql

von trailofbits

Die codeql-Skill hilft dir, CodeQL bei einem Security Audit mit weniger blinden Flecken einzusetzen. Der Fokus liegt auf Datenbankqualität, Suite-Auswahl, Data Extensions und SARIF-Review, damit du codeql zuverlässiger über unterstützte Sprachen hinweg verwenden kannst. Nutze sie für wiederholbare codeql-Anleitungsschritte bei der Analyse realer Repositories.

Security Audit

Favoriten 0GitHub 5k

insecure-defaults

von trailofbits

Die insecure-defaults Skill hilft dabei, Fail-Open-Konfigurationsmuster zu erkennen, bei denen Software mit unsicheren Einstellungen weiterläuft, statt abzubrechen. Verwenden Sie sie für ein Security Audit von Produktionscode, Deployment-Konfigurationen und Logik zur Secret-Verarbeitung, um schwache Authentifizierung, hartcodierte Geheimnisse und zu freizügige Standardwerte aufzudecken.

Security Audit

Favoriten 0GitHub 5k

algorand-vulnerability-scanner

von trailofbits

algorand-vulnerability-scanner ist eine Security-Audit-Skill für Algorand TEAL und PyTeal. Sie hilft dabei, 11 häufige Probleme zu finden, darunter Rekeying-Angriffe, Lücken bei der Gebührenvalidierung, Feldprüfungen und Schwachstellen in der Zugriffskontrolle. Verwenden Sie die algorand-vulnerability-scanner-Skill für eine praxisnahe Erstprüfung vor einem manuellen Audit.

Security Audit

Favoriten 0GitHub 4.9k

token-integration-analyzer

von trailofbits

token-integration-analyzer ist eine Security-Review-Skill für Token-Implementierungen und Token-Integrationen. Sie prüft die Konformität von ERC20/ERC721, ungewöhnliche Token-Muster, Besitzerrechte, Knappheit und nicht standardisierte Token-Verarbeitung für Security-Audit-Workflows. Nutzen Sie den token-integration-analyzer-Leitfaden, um Unsicherheiten zu reduzieren und Kompatibilitätsrisiken besser einzuschätzen.

Security Audit

Favoriten 0GitHub 4.9k

accessibility-compliance

von wshobson

Die Skill accessibility-compliance unterstützt Teams dabei, Web- oder Mobile-UIs zu prüfen und zu verbessern – mit praxisnahen Empfehlungen zu WCAG 2.2, ARIA, Tastaturbedienung, Screenreadern und mobiler Barrierefreiheit. Besonders geeignet für UX-Audits, Component-Fixes und direkt umsetzbare Handlungsempfehlungen.

UX Audit

Favoriten 0GitHub 32.6k

skill-comply

von affaan-m

skill-comply ist eine Skill zur Compliance-Prüfung, die in realen Läufen überprüft, ob ein Agent einer Skill-, Regel- oder Agentendefinition folgt. Sie generiert Spezifikationen aus Markdown, führt drei Stufen von Prompt-Striktheit aus, klassifiziert Tool-Call-Timelines und berichtet Compliance-Raten mit Belegen. Nützlich für skill-comply für Compliance-Review.

Compliance Review

Favoriten 0GitHub 156.3k

perl-security

von affaan-m

perl-security hilft dir dabei, Perl-Code auf sicherere Eingabehandhabung, Taint Mode, Shell-Ausführung, DBI-Placeholders und Web-Sicherheitsprobleme wie XSS, SQLi und CSRF zu prüfen. Nutze dieses perl-security Skill für Security-Audit-Arbeiten, Maßnahmenplanung und sichere Entwicklung, wenn benutzerkontrollierte Daten in sensible Sinks gelangen.

Security Audit

Favoriten 0GitHub 156.2k

laravel-security

von affaan-m

Das laravel-security Skill ist eine praxisnahe Laravel-Sicherheits-Checkliste für Authentifizierung/Autorisierung, Validierung, CSRF, Mass Assignment, Datei-Uploads, Secrets, Rate Limiting und sichere Bereitstellung. Verwenden Sie es für Audits, Feature-Reviews und Hardening-Arbeiten in Laravel-Apps.

Security Audit

Favoriten 0GitHub 156.2k

customs-trade-compliance

von affaan-m

customs-trade-compliance ist ein Trade-Compliance-Skill für Zolldokumente, HS/HTS-Klassifizierung, Zollabgabenplanung, Sanktionslisten- und Restricted-Party-Screening sowie Compliance Review. Er hilft dabei, Sendungsdaten in belastbare Import-/Exportentscheidungen zu übersetzen – mit deutlich weniger Rätselraten als bei einem generischen Prompt.

Compliance Review

Favoriten 0GitHub 156.1k

k8s-security-policies

von wshobson

k8s-security-policies unterstützt Teams dabei, Kubernetes NetworkPolicy, Pod Security Standards-Labels und RBAC-Muster mit vorlagen- und referenzbasierten Repo-Inhalten zu entwerfen – für Härtung und auditfähige Rollout-Planung.

Security Audit

Favoriten 0GitHub 32.6k

security-and-hardening

von addyosmani

Das Skill security-and-hardening hilft dabei, Anwendungscode vor dem Release abzusichern. Verwende es für Benutzereingaben, Authentifizierung, Sitzungen, sensible Daten, Datei-Uploads, Webhooks und externe Dienste — mit konkreten Prüfungen wie Eingabevalidierung, parametrierten Abfragen, Ausgabe-Codierung, sicheren Cookies, HTTPS und dem Umgang mit Secrets.

Security Audit

Favoriten 0GitHub 18.7k

cairo-vulnerability-scanner

von trailofbits

cairo-vulnerability-scanner prüft Cairo-/StarkNet-Smart-Contracts auf sechs kritische Schwachstellen, darunter Arithmetic-Fehler bei `felt252`, Fehler im L1-L2-Messaging, Bugs bei der Adresskonvertierung und Signature-Replay. Verwende diesen cairo-vulnerability-scanner Skill für Security-Audit-Reviews von StarkNet-Contracts.

Security Audit

Favoriten 0GitHub 4.9k

security

von markdown-viewer

Das Security-Skill erstellt PlantUML-Sicherheitsarchitekturdiagramme mit AWS-Stencils für Identität, Verschlüsselung, Firewalling, Compliance und Bedrohungserkennung. Es eignet sich für IAM-Flows, Zero-Trust-Designs, Verschlüsselungspipelines, Security-Audit-Diagramme und dokumentationsreife Reviews. Es ist nicht für allgemeine Cloud-Infrastruktur oder generelles UML-Modelling gedacht.

Security Audit

Favoriten 0GitHub 1.1k

apple-appstore-reviewer

von github

apple-appstore-reviewer hilft dabei, iOS-Apps vor der Einreichung auf Risiken für App-Store-Ablehnungen, Datenschutzlücken, Berechtigungen, Abos und blockierende Reviewer-Flows zu prüfen.

Compliance Review

Favoriten 0GitHub 0