address-sanitizer

por trailofbits

address-sanitizer te ayuda a instalar y usar AddressSanitizer (ASan) para detectar errores de seguridad de memoria durante pruebas, fuzzing y análisis de fallos. Es útil para código inseguro en C/C++, Rust y flujos de trabajo de auditoría de seguridad cuando necesitas trazas de pila reproducibles y señales de error más claras.

Estrellas5k

Favoritos0

Comentarios0

Agregado7 may 2026

CategoríaSecurity Audit

Comando de instalación

npx skills add trailofbits/skills --skill address-sanitizer

Puntuación editorial

Esta skill obtiene 71/100, lo que significa que merece figurar en el directorio, pero no es una opción de instalación especialmente pulida. El repositorio ofrece suficiente orientación concreta para activar AddressSanitizer correctamente y entender su uso en fuzzing y en la búsqueda de errores de memoria, pero conviene esperar una guía técnica más que un flujo de trabajo totalmente operativo y respaldado por scripts.

71/100

Puntos fuertes

Define con claridad el disparador y el alcance para fuzzing en C/C++ y depuración de seguridad de memoria, con indicaciones explícitas sobre cuándo aplicarlo.
Contenido de flujo de trabajo sustancial: el cuerpo es largo, está estructurado con muchos encabezados e incluye conceptos prácticos como instrumentación, memoria sombra y coste de rendimiento.
Incluye barandillas respaldadas por evidencias: indica condiciones para omitirlo y limitaciones clave, lo que ayuda a los agentes a decidir cuándo la skill es adecuada.

Puntos a tener en cuenta

No incluye comando de instalación, scripts ni archivos de apoyo, así que su adopción depende de leer y aplicar directamente el contenido del manual.
El campo de descripción es muy breve y el repositorio parece orientado a la técnica más que a una herramienta, por lo que los agentes quizá necesiten interpretar algo el prompt para operativizarlo.

Sanitizers Fuzzing C Cpp Rust Testing Security

Resumen

Descripción general de la skill address-sanitizer

Para qué sirve address-sanitizer

La skill address-sanitizer te ayuda a usar AddressSanitizer (ASan) para detectar errores de seguridad de memoria durante las pruebas, especialmente en fuzzing y en el análisis de fallos. Resulta especialmente útil cuando necesitas convertir un vago “algo está corrompiendo memoria” en una traza de pila reproducible, un historial de asignaciones o un caso de prueba que falle de forma consistente.

Usuarios y casos de uso más adecuados

La skill address-sanitizer encaja muy bien en flujos de prueba de C/C++, pipelines de fuzzing y código Rust que usa unsafe. También es útil para revisores de seguridad que buscan una ruta práctica de address-sanitizer for Security Audit antes de pasar a un análisis manual más profundo.

Qué la diferencia

ASan no es un truco genérico de prompt; es un flujo de instrumentación en tiempo de compilación con compensaciones en tiempo de ejecución. El valor principal de la skill address-sanitizer es ayudarte a decidir cuándo ASan es la herramienta adecuada, qué entradas necesita y cómo evitar resultados engañosos causados por discrepancias en compilación, flags o entorno.

Cómo usar la skill address-sanitizer

Instala la skill

Usa el flujo de instalación del repositorio que espera tu ejecutor de skills y luego verifica que address-sanitizer install se completó correctamente abriendo SKILL.md dentro del paquete de la skill. Si tu entorno admite manifiestos de skills, confirma que el nombre sea exactamente address-sanitizer para que tu router de prompts pueda activar la guía correcta.

Dale el contexto de prueba adecuado

Un buen address-sanitizer usage empieza con un objetivo específico: lenguaje, sistema de compilación, comando de pruebas, síntomas del fallo y si estás haciendo fuzzing, ejecutando pruebas unitarias o reproduciendo un problema. Una solicitud débil como “ayúdame a usar ASan” aporta menos que algo como: “Tengo una biblioteca C++ compilada con CMake, un crash en un target de fuzzing y necesito flags de ASan junto con un flujo mínimo de reproducción”.

Lee los archivos de la skill en este orden

Empieza por SKILL.md y luego revisa cualquier nota del repositorio o documentación de apoyo que exponga tu entorno. Para esta ruta del repo, el orden práctico de lectura es localizar la guía principal y después revisar las secciones de overview, key concepts, when to apply y quick reference, para entender las restricciones operativas antes de tocar los flags de compilación.

Convierte un objetivo difuso en un prompt útil

Para obtener mejores resultados, dile a la skill qué quieres demostrar, qué compilador y harness de pruebas usas y cómo luce el éxito. Ejemplo: “Quiero encontrar un heap-use-after-free en un servicio C++ en Linux compilado con Clang; dame los flags de compilación de ASan, las opciones de ejecución y la ruta de triaje más corta para un crash de una ejecución de fuzzing.” Ese encuadre produce una salida mejor de address-sanitizer guide que pedir una explicación genérica.

Preguntas frecuentes sobre la skill address-sanitizer

¿address-sanitizer es solo para fuzzing?

No. El fuzzing es un caso de uso común, pero la skill address-sanitizer también se aplica a pruebas unitarias, pruebas de regresión y depuración de crashes cuando sospechas corrupción de memoria. Si el error ya se puede reproducir, ASan sigue siendo una de las rutas más rápidas para obtener una traza de pila más clara.

¿Cuándo no debería usarla?

No recurras a ASan cuando necesites un rendimiento parecido al de producción, cuando tu plataforma objetivo o toolchain no lo soporten bien, o cuando el problema probablemente no esté relacionado con la seguridad de memoria. Si tu incidencia es solo lógica, de protocolo o de rendimiento, ASan suele añadir ruido en lugar de señal.

¿Es mejor que un prompt normal?

Sí, cuando la tarea es detectar y triar errores de memoria. Un prompt normal puede explicar ASan de forma conceptual, pero la skill address-sanitizer es más útil cuando necesitas una guía instalable y orientada al flujo de trabajo que te ayude a elegir flags, entradas y pasos de depuración con menos conjeturas.

¿Pueden usarla principiantes?

Sí, siempre que puedan describir su configuración de compilación y pruebas. El requisito principal no es tener un dominio profundo de sanitizers, sino aportar suficiente contexto del proyecto para indicar lenguaje, compilador, plataforma y ruta de reproducción, de modo que la skill pueda recomendar el flujo de ASan correcto.

Cómo mejorar la skill address-sanitizer

Aporta los detalles de compilación y ejecución

Los mejores resultados de address-sanitizer salen de datos exactos sobre compilador, plataforma y comando de pruebas. Incluye si usas Clang o GCC, qué flags de sanitizer ya están activados y si el fallo aparece en un target de fuzzing, en un binario de pruebas o en un repro independiente.

Indica el patrón de memoria que sospechas

La salida de ASan es mucho más accionable cuando describes el síntoma: lectura fuera de límites, heap-use-after-free, desbordamiento de pila, doble free o fuga. Si solo dices “se cae”, la skill tiene que inferir demasiado y puede sugerir un build o una ruta de triaje incorrectos.

Pide el siguiente paso de depuración

Después de la primera respuesta, itera pidiendo el siguiente paso más pequeño posible: “muéstrame cómo reducir este repro”, “ayúdame a interpretar esta traza de pila” o “qué flags de ASan debería añadir para symbolization y mejores informes”. Así mantienes la address-sanitizer skill centrada en la decisión que importa ahora, en lugar de abrir teoría general sobre sanitizers.

Vigila los fallos más comunes

Los errores más frecuentes son compilar sin instrumentación completa, mezclar objetos sanitizados y no sanitizados, y tratar ASan como prueba de explotabilidad en vez de como señal de depuración. Si quieres address-sanitizer for Security Audit, proporciona el modelo de amenaza y la ubicación del código para que la salida distinga entre corrupción de memoria confirmada y riesgo teórico.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

solana-vulnerability-scanner

por trailofbits

solana-vulnerability-scanner es un skill de auditoría de seguridad para Solana, enfocado en programas nativos en Rust y Anchor. Ayuda a revisar la lógica de CPI, la validación de PDA, las comprobaciones de firmante y propiedad, y el spoofing de sysvar para detectar seis vulnerabilidades críticas específicas de Solana antes del despliegue.

Security Audit

Favoritos 0GitHub 4.9k

sharp-edges

por trailofbits

La skill sharp-edges te ayuda a encontrar APIs, configuraciones e interfaces en las que el camino fácil acaba en un uso inseguro. Úsala para revisar flujos de autenticación, envoltorios criptográficos, valores predeterminados peligrosos, la semántica de null o cero y decisiones de diseño propensas a un uso incorrecto. Encaja especialmente bien para trabajos de sharp-edges en auditorías de seguridad cuando necesitas riesgos concretos de uso erróneo, no suposiciones genéricas sobre seguridad.

Security Audit

Favoritos 0GitHub 5k

security-review

por affaan-m

Usa la skill security-review para revisar autenticación, entrada de usuario, secretos, APIs, pagos, cargas de archivos y otros flujos sensibles. Ofrece una guía práctica de revisión de seguridad con comprobaciones claras de aprobado/rechazado, ejemplos de patrones de riesgo y un proceso enfocado para detectar problemas comunes antes del lanzamiento.

Security Audit

Favoritos 0GitHub 156.3k

django-security

por affaan-m

django-security es una guía práctica para reforzar apps de Django con autenticación, autorización, protección CSRF, prevención de XSS e inyección SQL, cookies seguras y ajustes de producción. Ayuda a desarrolladores y revisores a ejecutar una Security Audit enfocada, detectar rápido configuraciones de riesgo y aplicar correcciones concretas antes del despliegue.

Security Audit

Favoritos 0GitHub 156.1k

ossfuzz

por trailofbits

Aprende la skill de ossfuzz para configurar fuzzing continuo, registrar proyectos, planificar harnesses y revisar el flujo de compilación. Esta guía ayuda a ingenieros de seguridad y mantenedores a evaluar la preparación, detectar bloqueos de compilación y preparar una ruta práctica desde el árbol de código fuente hasta OSS-Fuzz o una infraestructura privada de fuzzing.

Security Audit

Favoritos 0GitHub 5k

codeql

por trailofbits

La skill de codeql te ayuda a ejecutar CodeQL con menos puntos ciegos durante una auditoría de seguridad. Se centra en la calidad de la base de datos, la selección de suites, las extensiones de datos y la revisión de SARIF, para que puedas usar codeql con más fiabilidad en los idiomas compatibles. Úsala para seguir pasos repetibles de la guía de codeql al analizar repositorios reales.

Security Audit

Favoritos 0GitHub 5k

semgrep-rule-creator

por trailofbits

semgrep-rule-creator crea reglas de Semgrep de calidad de producción para vulnerabilidades de seguridad, patrones de errores, detecciones de flujo de taint y estándares de codificación. Usa la skill semgrep-rule-creator para tareas de auditoría de seguridad cuando necesites reglas precisas, casos de prueba y validación, en lugar de un borrador genérico.

Security Audit

Favoritos 0GitHub 5k

insecure-defaults

por trailofbits

La skill insecure-defaults ayuda a detectar patrones de configuración fail-open que hacen que el software siga funcionando con ajustes inseguros en vez de detenerse. Úsala en una auditoría de seguridad de código en producción, configuraciones de despliegue y lógica de manejo de secretos para identificar autenticación débil, secretos incrustados y valores predeterminados demasiado permisivos.

Security Audit

Favoritos 0GitHub 5k

constant-time-analysis

por trailofbits

constant-time-analysis es una skill de auditoría de seguridad para detectar riesgos de canal lateral por temporización en código criptográfico antes de que se conviertan en fallos explotables. Úsala para revisar matemáticas dependientes de secretos, ramas, comparaciones y el código compilado al auditar C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python o Ruby.

Security Audit

Favoritos 0GitHub 5k

secure-workflow-guide

por trailofbits

secure-workflow-guide guía un flujo de trabajo de seguridad en Solidity en 5 pasos: triaje con Slither, comprobaciones específicas por función, inspección visual, notas sobre propiedades de seguridad y revisión manual. Está pensado para equipos de smart contracts, auditores y builders que quieren una guía secure-workflow-guide repetible antes del despliegue o del lanzamiento.

Security Audit

Favoritos 0GitHub 4.9k

algorand-vulnerability-scanner

por trailofbits

algorand-vulnerability-scanner es una skill de auditoría de seguridad para Algorand TEAL y PyTeal. Ayuda a detectar 11 problemas comunes, incluidos ataques de rekeying, fallos en la validación de fees, comprobaciones de campos y errores de control de acceso. Usa la skill algorand-vulnerability-scanner como una revisión práctica inicial antes de una auditoría manual.

Security Audit

Favoritos 0GitHub 4.9k

supabase-postgres-best-practices

por supabase

supabase-postgres-best-practices es una skill de optimización de Supabase Postgres para ajustar consultas, indexación, diseño de esquemas, rendimiento de RLS, bloqueos y gestión de conexiones.

Database Engineering

Favoritos 0GitHub 1.7k

entra-agent-id

por microsoft

entra-agent-id es una skill de vista previa de Microsoft Entra Agent ID para equipos de desarrollo backend que crean identidades de agentes de IA con capacidad OAuth2 usando Graph beta. Cubre la configuración de blueprints, blueprint principals, identidades de agente, permisos, sponsors, federación de identidad de workload y autenticación basada en sidecar. Úsala para entender la instalación, el uso y las limitaciones de despliegue de entra-agent-id.

Backend Development

Favoritos 0GitHub 0

token-integration-analyzer

por trailofbits

token-integration-analyzer es una skill de revisión de seguridad para implementaciones e integraciones de tokens. Verifica la conformidad con ERC20/ERC721, patrones de tokens inusuales, privilegios del owner, escasez y el manejo de tokens no estándar en flujos de trabajo de Security Audit. Usa la guía de token-integration-analyzer para reducir la incertidumbre y evaluar el riesgo de compatibilidad.

Security Audit

Favoritos 0GitHub 4.9k

cosmos-vulnerability-scanner

por trailofbits

cosmos-vulnerability-scanner detecta fallos críticos para el consenso en módulos de Cosmos SDK, contratos CosmWasm, integraciones IBC y stacks de Cosmos EVM. Usa esta guía de cosmos-vulnerability-scanner para flujos de trabajo de auditoría de seguridad, riesgos de parada de cadena, rutas de pérdida de fondos y revisiones previas al lanzamiento.

Security Audit

Favoritos 0GitHub 4.9k

ruzzy

por trailofbits

ruzzy es un skill de fuzzing de Ruby guiado por cobertura para probar código Ruby puro y extensiones C de Ruby. Usa la guía de ruzzy para configurar un entorno Linux compatible, verificar la integración de sanitizers y crear flujos de trabajo de fuzzing prácticos para tareas de Security Audit.

Security Audit

Favoritos 0GitHub 5k