Security Audit

springboot-security es una guía práctica de seguridad para Spring Boot que cubre autenticación, autorización, validación, CSRF/CORS, secretos, encabezados, limitación de tasa y comprobaciones de dependencias. Usa el skill springboot-security para trabajos de auditoría de seguridad o para endurecer un servicio Java con menos riesgos de configuraciones de seguridad incorrectas.

skill-comply es una skill de pruebas de cumplimiento que comprueba si un agente sigue una skill, una regla o una definición de agente en ejecuciones reales. Genera especificaciones a partir de markdown, ejecuta tres niveles de rigor en los prompts, clasifica cronologías de llamadas a herramientas y ofrece tasas de cumplimiento con evidencia. Útil para skill-comply para revisión de cumplimiento.

La skill security-scan audita la configuración de .claude/ de Claude Code en busca de secretos, configuraciones MCP de riesgo, instrucciones propensas a inyección, banderas de omisión peligrosas y definiciones débiles de agentes o hooks usando AgentShield. Úsala para realizar comprobaciones de seguridad repetibles antes de hacer commit o incorporar nuevos miembros al proyecto.

Usa la skill security-review para revisar autenticación, entrada de usuario, secretos, APIs, pagos, cargas de archivos y otros flujos sensibles. Ofrece una guía práctica de revisión de seguridad con comprobaciones claras de aprobado/rechazado, ejemplos de patrones de riesgo y un proceso enfocado para detectar problemas comunes antes del lanzamiento.

security-bounty-hunter te ayuda a encontrar vulnerabilidades aptas para recompensas en repositorios, con foco en problemas accesibles de forma remota y controlables por el usuario que probablemente superen la triage. Úsalo para trabajos de Security Audit cuando busques hallazgos prácticos y reportables, no preocupaciones ruidosas que solo afectan al entorno local.

repo-scan es una habilidad de auditoría de código multistack que clasifica archivos, detecta bibliotecas de terceros incrustadas y te ayuda a decidir qué es núcleo, qué está duplicado y qué es peso muerto. Resulta útil para revisión de código con repo-scan, migraciones de legado y planificación de refactors. Consulta en la habilidad la guía de instalación y de uso de repo-scan.

perl-security te ayuda a revisar código Perl para detectar problemas de manejo seguro de entradas, taint mode, ejecución de shell, marcadores de posición de DBI y riesgos de seguridad web como XSS, SQLi y CSRF. Usa esta skill de perl-security para tareas de auditoría de seguridad, planificación de remediación y desarrollo seguro cuando datos controlados por el usuario llegan a sinks sensibles.

llm-trading-agent-security es una guía práctica para proteger agentes de trading autónomos con autoridad sobre wallets. Cubre inyección de prompts, límites de gasto, simulación antes del envío, circuit breakers, ejecución con conciencia de MEV y aislamiento de claves para reducir el riesgo de pérdidas financieras en una auditoría de seguridad.

La skill laravel-security es una lista de verificación práctica de seguridad en Laravel para autenticación, autorización, validación, CSRF, asignación masiva, subidas de archivos, secretos, limitación de tasa y despliegue seguro. Úsala para auditorías, revisión de funcionalidades y tareas de refuerzo en apps Laravel.

hipaa-compliance es el punto de entrada específico para HIPAA en trabajos de privacidad y seguridad sanitaria. Usa el skill de hipaa-compliance cuando una tarea trate explícitamente de PHI, entidades cubiertas, BAAs, postura ante incidentes de brecha o de si un flujo de trabajo crea exposición a HIPAA. Es una capa ligera para triaje rápido de cumplimiento y orientación.

healthcare-phi-compliance ayuda a revisar aplicaciones de salud para detectar riesgos de PHI/PII en modelos de datos, APIs, logs y rutas de acceso. Úsalo para comprobar la clasificación de datos, el control de acceso, el cifrado, las trazas de auditoría y los vectores comunes de fuga en necesidades de auditoría de seguridad como HIPAA, DISHA, GDPR y marcos relacionados.

healthcare-eval-harness es un entorno de evaluación de seguridad del paciente para despliegues de aplicaciones sanitarias. Ayuda a los equipos a verificar la precisión de CDSS, la exposición de PHI, la integridad de los datos, el comportamiento del flujo clínico y el cumplimiento de integraciones antes de publicar. Los fallos críticos bloquean el despliegue, por lo que resulta útil para healthcare-eval-harness en evaluaciones de modelos y como puerta de seguridad en CI.

github-ops es una skill de operaciones en GitHub para clasificar incidencias, gestionar PR, revisar fallos de CI, preparar releases y supervisar la salud del repositorio con la CLI `gh`. Usa la skill github-ops cuando necesites un uso repetible de github-ops en un repositorio real, con autenticación mediante `gh auth login` y un contexto de repositorio claro.

ecc-tools-cost-audit es una skill de auditoría basada en evidencia para picos de coste en ECC Tools, creación descontrolada de PR, evasión de cuota, filtraciones de modelos premium y trabajos duplicados. Úsala en investigaciones de Backend Development que sigan una solicitud desde el webhook hasta el worker y la decisión de facturación, para demostrar dónde se está generando el gasto.

django-verification es una skill de preparación para lanzamientos en proyectos backend de Django. Guía comprobaciones del entorno, linting, formateo, validación de tipos, migraciones, tests con cobertura, análisis de seguridad y verificación de preparación para despliegue, para que puedas detectar problemas antes de los PR o de las releases.

django-security es una guía práctica para reforzar apps de Django con autenticación, autorización, protección CSRF, prevención de XSS e inyección SQL, cookies seguras y ajustes de producción. Ayuda a desarrolladores y revisores a ejecutar una Security Audit enfocada, detectar rápido configuraciones de riesgo y aplicar correcciones concretas antes del despliegue.

defi-amm-security es una lista de verificación de seguridad centrada en AMM de Solidity, pools de liquidez, vaults de LP y flujos de swap. Ayuda a auditores e ingenieros a revisar reentrancy, el orden CEI, ataques de donación o inflación, supuestos de oráculos, slippage, controles de administración y aritmética entera con menos improvisación que un prompt genérico.

code-reviewer es una skill ligera para Code Review que convierte código o diffs en un informe estructurado con cobertura de seguridad, rendimiento, buenas prácticas, severidad, líneas o secciones afectadas, correcciones recomendadas y una puntuación general de calidad.

code-reviewer es una skill de revisión de código con IA que sigue un orden estricto de análisis: security, performance, correctness y maintainability. Usa archivos de reglas para SQL injection, XSS, N+1 queries, error handling, naming y type hints, lo que hace que las revisiones de PR sean más consistentes que con un prompt de revisión genérico.

cso es una habilidad de auditoría de seguridad, orientada al estilo de un Chief Security Officer, para agentes. Ayuda a revisar bases de código y flujos de trabajo en busca de exposición de secretos, riesgos de dependencias y cadena de suministro, seguridad de CI/CD y seguridad de LLM/IA usando OWASP Top 10 y STRIDE. Usa cso para revisiones estructuradas de auditoría de seguridad con puertas de confianza, verificación activa y seguimiento de tendencias.

attack-tree-construction ayuda a crear árboles de ataque estructurados para Threat Modeling, con objetivos raíz claros, ramas AND/OR y ataques hoja comprobables. Úsala para trazar rutas de ataque, detectar brechas defensivas y respaldar revisiones de seguridad, pruebas y planes de mitigación.

La skill sast-configuration ayuda a configurar Semgrep, SonarQube y CodeQL para flujos de trabajo SAST reales. Úsala para planificar la instalación, la integración con CI/CD, las reglas personalizadas, las puertas de calidad y el ajuste de falsos positivos para Security Audit y el análisis específico por repositorio.

stride-analysis-patterns ayuda a los agentes a ejecutar un análisis estructurado de modelado de amenazas STRIDE para arquitecturas, APIs y flujos de datos. Instálala desde el repositorio wshobson/agents, revisa el archivo SKILL.md y úsala para convertir descripciones de sistemas en amenazas categorizadas y resultados de revisión centrados en controles.

La skill threat-mitigation-mapping ayuda a relacionar amenazas identificadas con controles preventivos, detectivos y correctivos en distintas capas, para reforzar la defensa en profundidad, planificar la remediación y revisar la cobertura de controles.