code-maturity-assessor

por trailofbits

code-maturity-assessor ofrece una revisión de madurez basada en evidencias usando el marco de 9 categorías de Trail of Bits. Evalúa la seguridad aritmética, la auditoría, el control de acceso, la complejidad, la descentralización, la documentación, el riesgo MEV, el código de bajo nivel y las pruebas, con recomendaciones accionables para preparar una auditoría de seguridad.

Estrellas4.9k

Favoritos0

Comentarios0

Agregado30 abr 2026

CategoríaSecurity Audit

Comando de instalación

npx skills add trailofbits/skills --skill code-maturity-assessor

Puntuación editorial

Esta skill obtiene 78/100, lo que la convierte en una opción sólida para usuarios de directorio que buscan un flujo de trabajo estructurado de evaluación de madurez de código, no un prompt genérico de revisión. El repositorio aporta suficiente detalle operativo para entender cuándo usarla, qué analiza y qué resultado cabe esperar, aunque aún deja algunas dudas de adopción sobre el disparo exacto y la integración en tiempo de ejecución.

78/100

Puntos fuertes

Buen potencial de activación: `SKILL.md` deja claro un assessment de madurez de código de 9 categorías de Trail of Bits, con un propósito definido y un flujo de trabajo por fases.
Buena claridad operativa: el repositorio detalla las fases de descubrimiento, análisis e informe, además de criterios de apoyo y recursos para el formato del reporte.
Valor útil para decidir la instalación: antes de instalarla, el usuario puede ver el entregable previsto: una tarjeta de puntuación con valoraciones basadas en evidencias, referencias a archivos y una hoja de ruta de mejoras.

Puntos a tener en cuenta

No hay comando de instalación ni pegamento de ejecución: el repositorio no muestra cómo se invoca la skill en la práctica, así que los agentes pueden necesitar algo de prueba y error para activarla correctamente.
Parte del contenido del flujo de trabajo está truncado en el extracto y no hay scripts ni archivos de referencia para validar la automatización o dependencias externas.

Audit Security Solidity Smart Contracts Testing Quality

Resumen

Descripción general de la skill code-maturity-assessor

Qué hace code-maturity-assessor

La skill code-maturity-assessor realiza una revisión estructurada de la madurez de una base de código usando el marco de 9 categorías de Trail of Bits. Está pensada para equipos que necesitan una tarjeta de evaluación basada en evidencia, no una revisión de código vaga. Si estás decidiendo si un proyecto está listo para una auditoría de seguridad, una puerta de salida a producción o un plan de remediación, esta skill te da una forma repetible de evaluar brechas.

Quién debería usarla

Usa la code-maturity-assessor skill si trabajas con smart contracts o con código cercano donde importan la corrección, la profundidad de las pruebas, el control de acceso y la preparación operativa. Es especialmente útil para mantenedores, revisores de seguridad y equipos que preparan una base de código para una revisión externa. Es menos útil si buscas un lint rápido de estilo, una revisión genérica de arquitectura o un modelo amplio de amenazas sin evidencia a nivel de código.

Qué la hace útil para tomar decisiones

Su valor principal es que separa “parece estar bien” de “está respaldado por evidencia”. La evaluación busca señales concretas como el manejo aritmético, la cobertura de eventos, las decisiones de descentralización, la calidad de la documentación, los puntos de complejidad y las prácticas de pruebas. Eso la convierte en una buena opción cuando necesitas justificar prioridades ante ingenieros, auditores o partes interesadas.

Cómo usar la skill code-maturity-assessor

Instala y acota la skill

Instálala con npx skills add trailofbits/skills --skill code-maturity-assessor. Después, lee primero SKILL.md y luego resources/ASSESSMENT_CRITERIA.md, resources/REPORT_FORMAT.md y resources/EXAMPLE_REPORT.md. Esos tres archivos muestran cómo funciona la rúbrica de evaluación, qué debe incluir el informe final y qué nivel de detalle se espera en la salida.

Dale un objetivo real de evaluación

El uso de code-maturity-assessor funciona mejor cuando especificas un repositorio, un módulo o un candidato a release concretos. Las buenas entradas nombran la base de código, la plataforma y el objetivo: por ejemplo, “Evalúa la madurez de este protocolo de Solidity antes de una auditoría de seguridad” o “Evalúa la madurez de las capas de control de acceso y pruebas en contracts/”. Si solo pides “revisa este proyecto”, la skill tiene que adivinar qué inspeccionar primero.

Usa un prompt que encaje con el marco

Un buen prompt de code-maturity-assessor guide debería incluir el alcance, la urgencia y cualquier área de riesgo conocida. Por ejemplo: “Ejecuta una evaluación de madurez de código para un protocolo DeFi, céntrate en la seguridad aritmética, los eventos de auditoría, el control de acceso y las pruebas, y marca cualquier cosa que bloquearía una Security Audit.” Esa formulación ayuda a la skill a mapear tu objetivo a las 9 categorías en lugar de producir un resumen genérico.

Lee los archivos del informe antes de confiar en la salida

Los archivos del repositorio más útiles son resources/ASSESSMENT_CRITERIA.md, resources/REPORT_FORMAT.md y resources/EXAMPLE_REPORT.md. Juntos muestran la lógica de umbrales, la estructura esperada de la tarjeta de evaluación y el nivel de evidencia que exige cada calificación. Para decidir si te conviene instalarla, esto importa porque te indica si la salida será accionable o solo descriptiva.

Preguntas frecuentes sobre la skill code-maturity-assessor

¿Es solo para smart contracts?

Su punto fuerte son Solidity y los flujos relacionados con contratos seguros, pero el marco también puede ayudar en bases de código donde la seguridad, las pruebas y los controles operativos son centrales. Si tu proyecto es una app web típica sin lógica on-chain, la code-maturity-assessor skill puede ser demasiado para lo que necesitas frente a un prompt convencional de revisión de código.

¿En qué se diferencia de un prompt normal?

Un prompt normal suele producir una revisión ad hoc. code-maturity-assessor install te da una rúbrica definida, un formato de informe fijo y un estándar de evidencia claro. Eso hace que el resultado sea más fácil de comparar entre repositorios o a lo largo del tiempo.

¿Sirve como comprobación previa a una Security Audit?

Sí, code-maturity-assessor for Security Audit es uno de sus mejores casos de uso. Ayuda a identificar si la base de código tiene suficiente documentación, profundidad de pruebas y claridad de diseño como para justificar el paso a una auditoría formal. No sustituye una auditoría, pero puede evitar gastar tiempo de auditoría en brechas de madurez obvias.

¿Qué hago si el repo es escaso?

Si el repositorio tiene poca documentación, pruebas superficiales o una estructura poco clara, espera que la skill haga preguntas de seguimiento o califique las categorías de forma conservadora. En ese caso, aporta contexto adicional sobre supuestos de despliegue, monitorización fuera de la cadena, gobernanza y cualquier especificación que viva fuera del repositorio.

Cómo mejorar la skill code-maturity-assessor

Dale entradas con mucha evidencia

La mejor forma de mejorar los resultados es proporcionar exactamente los archivos que describen la intención: especificaciones, notas de arquitectura, estrategia de pruebas y cualquier documento de proceso de seguridad. En repositorios muy centrados en código, indícale los contratos o módulos principales y los directorios de pruebas. Las entradas sólidas reducen la especulación en categorías como aritmética, complejidad y control de acceso.

Aclara qué debe significar “madurez” en este repo

Un contrato de tokens, una DAO y un protocolo DeFi no fallan por las mismas razones. Dile a la skill qué te importa más: preparación para release, preparación para auditoría, seguridad de las actualizaciones o monitorización operativa. Eso le permite ponderar las 9 categorías de una forma que encaje con tu perfil de riesgo, en lugar de tratar todas por igual.

Vigila los modos de fallo más comunes

Los fallos más habituales son especificaciones ausentes, operaciones unchecked sin documentar, una estrategia de eventos débil y pruebas que no cubren casos límite. Si la primera pasada es demasiado optimista, pide una segunda revisión centrada en la categoría más débil y exige evidencia con file:line. Si es demasiado conservadora, aporta la documentación que falta o explica decisiones de proceso que no se ven en el código.

Itera después del primer informe

Usa la primera evaluación como un mapa de brechas y luego vuelve a enviar el caso con los archivos o el contexto que aborden los hallazgos de mayor riesgo. Aquí es donde la code-maturity-assessor skill resulta más valiosa que un prompt de una sola pasada: puedes ejecutarla otra vez después de añadir pruebas, reforzar la documentación o aclarar la gobernanza, y comparar si la puntuación de madurez realmente mejoró.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

solana-vulnerability-scanner

por trailofbits

solana-vulnerability-scanner es un skill de auditoría de seguridad para Solana, enfocado en programas nativos en Rust y Anchor. Ayuda a revisar la lógica de CPI, la validación de PDA, las comprobaciones de firmante y propiedad, y el spoofing de sysvar para detectar seis vulnerabilidades críticas específicas de Solana antes del despliegue.

Security Audit

Favoritos 0GitHub 4.9k

security-review

por affaan-m

Usa la skill security-review para revisar autenticación, entrada de usuario, secretos, APIs, pagos, cargas de archivos y otros flujos sensibles. Ofrece una guía práctica de revisión de seguridad con comprobaciones claras de aprobado/rechazado, ejemplos de patrones de riesgo y un proceso enfocado para detectar problemas comunes antes del lanzamiento.

Security Audit

Favoritos 0GitHub 156.3k

django-security

por affaan-m

django-security es una guía práctica para reforzar apps de Django con autenticación, autorización, protección CSRF, prevención de XSS e inyección SQL, cookies seguras y ajustes de producción. Ayuda a desarrolladores y revisores a ejecutar una Security Audit enfocada, detectar rápido configuraciones de riesgo y aplicar correcciones concretas antes del despliegue.

Security Audit

Favoritos 0GitHub 156.1k

secure-workflow-guide

por trailofbits

secure-workflow-guide guía un flujo de trabajo de seguridad en Solidity en 5 pasos: triaje con Slither, comprobaciones específicas por función, inspección visual, notas sobre propiedades de seguridad y revisión manual. Está pensado para equipos de smart contracts, auditores y builders que quieren una guía secure-workflow-guide repetible antes del despliegue o del lanzamiento.

Security Audit

Favoritos 0GitHub 4.9k

algorand-vulnerability-scanner

por trailofbits

algorand-vulnerability-scanner es una skill de auditoría de seguridad para Algorand TEAL y PyTeal. Ayuda a detectar 11 problemas comunes, incluidos ataques de rekeying, fallos en la validación de fees, comprobaciones de campos y errores de control de acceso. Usa la skill algorand-vulnerability-scanner como una revisión práctica inicial antes de una auditoría manual.

Security Audit

Favoritos 0GitHub 4.9k

supabase-postgres-best-practices

por supabase

supabase-postgres-best-practices es una skill de optimización de Supabase Postgres para ajustar consultas, indexación, diseño de esquemas, rendimiento de RLS, bloqueos y gestión de conexiones.

Database Engineering

Favoritos 0GitHub 1.7k

token-integration-analyzer

por trailofbits

token-integration-analyzer es una skill de revisión de seguridad para implementaciones e integraciones de tokens. Verifica la conformidad con ERC20/ERC721, patrones de tokens inusuales, privilegios del owner, escasez y el manejo de tokens no estándar en flujos de trabajo de Security Audit. Usa la guía de token-integration-analyzer para reducir la incertidumbre y evaluar el riesgo de compatibilidad.

Security Audit

Favoritos 0GitHub 4.9k

cosmos-vulnerability-scanner

por trailofbits

cosmos-vulnerability-scanner detecta fallos críticos para el consenso en módulos de Cosmos SDK, contratos CosmWasm, integraciones IBC y stacks de Cosmos EVM. Usa esta guía de cosmos-vulnerability-scanner para flujos de trabajo de auditoría de seguridad, riesgos de parada de cadena, rutas de pérdida de fondos y revisiones previas al lanzamiento.

Security Audit

Favoritos 0GitHub 4.9k

audit-website

por squirrelscan

La skill audit-website usa la CLI de squirrel para auditar sitios web y aplicaciones web con más de 230 reglas de SEO, aspectos técnicos, contenido, rendimiento, seguridad, enlaces y salud del sitio, y devuelve informes accionables listos para LLM.

UX Audit

Favoritos 0GitHub 68

skill-comply

por affaan-m

skill-comply es una skill de pruebas de cumplimiento que comprueba si un agente sigue una skill, una regla o una definición de agente en ejecuciones reales. Genera especificaciones a partir de markdown, ejecuta tres niveles de rigor en los prompts, clasifica cronologías de llamadas a herramientas y ofrece tasas de cumplimiento con evidencia. Útil para skill-comply para revisión de cumplimiento.

Compliance Review

Favoritos 0GitHub 156.3k

security-scan

por affaan-m

La skill security-scan audita la configuración de .claude/ de Claude Code en busca de secretos, configuraciones MCP de riesgo, instrucciones propensas a inyección, banderas de omisión peligrosas y definiciones débiles de agentes o hooks usando AgentShield. Úsala para realizar comprobaciones de seguridad repetibles antes de hacer commit o incorporar nuevos miembros al proyecto.

Security Audit

Favoritos 0GitHub 156.3k

perl-security

por affaan-m

perl-security te ayuda a revisar código Perl para detectar problemas de manejo seguro de entradas, taint mode, ejecución de shell, marcadores de posición de DBI y riesgos de seguridad web como XSS, SQLi y CSRF. Usa esta skill de perl-security para tareas de auditoría de seguridad, planificación de remediación y desarrollo seguro cuando datos controlados por el usuario llegan a sinks sensibles.

Security Audit

Favoritos 0GitHub 156.2k

laravel-security

por affaan-m

La skill laravel-security es una lista de verificación práctica de seguridad en Laravel para autenticación, autorización, validación, CSRF, asignación masiva, subidas de archivos, secretos, limitación de tasa y despliegue seguro. Úsala para auditorías, revisión de funcionalidades y tareas de refuerzo en apps Laravel.

Security Audit

Favoritos 0GitHub 156.2k

healthcare-eval-harness

por affaan-m

healthcare-eval-harness es un entorno de evaluación de seguridad del paciente para despliegues de aplicaciones sanitarias. Ayuda a los equipos a verificar la precisión de CDSS, la exposición de PHI, la integridad de los datos, el comportamiento del flujo clínico y el cumplimiento de integraciones antes de publicar. Los fallos críticos bloquean el despliegue, por lo que resulta útil para healthcare-eval-harness en evaluaciones de modelos y como puerta de seguridad en CI.

Model Evaluation

Favoritos 0GitHub 156.2k

github-ops

por affaan-m

github-ops es una skill de operaciones en GitHub para clasificar incidencias, gestionar PR, revisar fallos de CI, preparar releases y supervisar la salud del repositorio con la CLI `gh`. Usa la skill github-ops cuando necesites un uso repetible de github-ops en un repositorio real, con autenticación mediante `gh auth login` y un contexto de repositorio claro.

Github

Favoritos 0GitHub 156.2k

ecc-tools-cost-audit

por affaan-m

ecc-tools-cost-audit es una skill de auditoría basada en evidencia para picos de coste en ECC Tools, creación descontrolada de PR, evasión de cuota, filtraciones de modelos premium y trabajos duplicados. Úsala en investigaciones de Backend Development que sigan una solicitud desde el webhook hasta el worker y la decisión de facturación, para demostrar dónde se está generando el gasto.

Backend Development

Favoritos 0GitHub 156.1k