insecure-defaults

por trailofbits

La skill insecure-defaults ayuda a detectar patrones de configuración fail-open que hacen que el software siga funcionando con ajustes inseguros en vez de detenerse. Úsala en una auditoría de seguridad de código en producción, configuraciones de despliegue y lógica de manejo de secretos para identificar autenticación débil, secretos incrustados y valores predeterminados demasiado permisivos.

Estrellas5k

Favoritos0

Comentarios0

Agregado4 may 2026

CategoríaSecurity Audit

Comando de instalación

npx skills add trailofbits/skills --skill insecure-defaults

Puntuación editorial

Esta skill obtiene una puntuación de 84/100, lo que la convierte en una buena candidata para el directorio para usuarios que realizan revisiones de seguridad de código y configuración. Es fácil de activar para un agente a partir del frontmatter, el flujo de trabajo es lo bastante concreto como para distinguir patrones inseguros fail-open de patrones fail-secure, y los ejemplos respaldan una toma de decisiones útil en la instalación. La principal salvedad es que el repositorio ofrece sobre todo guía conceptual y no asistencia automatizada, así que conviene esperar una aplicación manual de la lista de comprobación con las herramientas proporcionadas.

84/100

Puntos fuertes

Alta capacidad de activación: la descripción apunta claramente a auditorías de seguridad, revisión de configuración y manejo de variables de entorno.
Claridad operativa: explica con ejemplos concretos la diferencia entre patrones fail-open y fail-secure.
Buen valor para la instalación: el archivo de ejemplos incluye patrones vulnerables y seguros que reducen la incertidumbre para los agentes.

Puntos a tener en cuenta

No incluye comando de instalación ni activos de automatización, así que la adopción es manual y depende de la disciplina del agente.
La skill parece centrarse en la guía de detección más que en un flujo completo de remediación de extremo a extremo.

Git Security Configuration Environment Variables Secrets Auth Docker

Resumen

Resumen de la skill insecure-defaults

Qué hace insecure-defaults

La skill insecure-defaults te ayuda a detectar patrones de configuración fail-open que permiten que el software siga funcionando con ajustes inseguros en lugar de detenerse. Es especialmente útil para una Security Audit de código de producción, configuraciones de despliegue y lógica de gestión de secretos, cuando las variables de entorno que faltan deben tratarse como un defecto, no como algo que se tolera en silencio.

Quién debería usarla

Usa la skill insecure-defaults si revisas código de auth, crypto, API keys o infraestructura y necesitas distinguir entre un comportamiento seguro de fail-secure y un fallback arriesgado. Encaja bien para revisores, equipos de AppSec y agentes que comprueban si un servicio puede arrancar con credenciales débiles, valores predeterminados permisivos o secretos de marcador de posición.

Qué la hace diferente

Esta skill no es un prompt genérico para “encontrar fallos de seguridad”. Se centra en una sola decisión: si la configuración que falta hace que el sistema falle en modo seguro o si, por el contrario, sigue funcionando de forma insegura. Ese alcance estrecho hace que insecure-defaults sea útil para detectar problemas como secretos por defecto, contraseñas de respaldo y manejo permisivo de variables de entorno que pasan desapercibidos en una auditoría amplia.

Cómo usar la skill insecure-defaults

Instala y abre los archivos correctos

Para insecure-defaults install, añade la skill con npx skills add trailofbits/skills --skill insecure-defaults. Después, lee primero SKILL.md y luego references/examples.md, donde se muestran los patrones que sí y los que no se reportan. Si vas a adaptar la skill a otro repo, inspecciona también cualquier archivo de configuración, despliegue o gestión de secretos en el que los valores por defecto puedan importar.

Dale a la skill un objetivo de auditoría concreto

El mejor uso de insecure-defaults usage empieza con una pregunta específica, no con una solicitud vaga. Las buenas entradas nombran el servicio, la superficie de configuración y el límite de riesgo:

“Revisa este servicio de auth para detectar insecure-defaults en el manejo de variables de entorno y la carga de secretos.”
“Comprueba los archivos Docker e IaC en busca de credenciales de respaldo o valores predeterminados permisivos.”
“Audita estas rutas de arranque para confirmar que la configuración faltante falle de forma segura, no abierta.”

Usa la skill como flujo de trabajo de triaje

Un insecure-defaults guide práctico sería: identificar dónde se lee la configuración, comprobar si los valores faltantes provocan un fallo o un fallback, y confirmar si el valor por defecto es seguro en producción. Los ejemplos del repositorio muestran la distinción clave: env['KEY'] o una validación explícita suele ser seguro, mientras que env.get('KEY') or 'default' es un problema reportable cuando ese valor controla el comportamiento de seguridad.

Mejora la calidad de salida con contexto acotado

Proporciona los archivos exactos, el stack y el contexto de despliegue que el agente debe examinar. Por ejemplo, menciona src/auth/, config/, docker-compose.yml o helm/ si esas rutas existen. También indica si deben excluirse fixtures de prueba, archivos de ejemplo o configuraciones solo de desarrollo; la skill trata explícitamente esos casos como no hallazgos salvo que afecten al comportamiento en producción.

Preguntas frecuentes de insecure-defaults skill

¿insecure-defaults es solo para código de aplicación?

No. La skill insecure-defaults también encaja en manifests de despliegue, IaC, configuración de contenedores y lógica de variables de entorno. Si un secreto o una contraseña faltante hace que la app arranque con un valor débil por defecto, ese es בדיוק el tipo de problema que está pensada para detectar.

¿En qué se diferencia de un prompt normal?

Un prompt normal suele generar consejos de seguridad amplios. La skill insecure-defaults es más estrecha y orientada a decisiones: comprueba si una configuración ausente provoca un fallo seguro o un fallback peligroso. Ese enfoque reduce los falsos positivos y hace que la revisión sea más consistente entre codebases.

¿Cuándo no debería usarla?

No uses insecure-defaults para fixtures de prueba, archivos .example o .template, fragmentos de documentación ni scripts solo para desarrollo, salvo que se usen realmente en producción. Tampoco es la herramienta adecuada cuando el sistema está diseñado para caer si falta la configuración; ese comportamiento fail-secure es correcto, no un hallazgo.

¿Es apta para principiantes?

Sí, si puedes identificar dónde un sistema lee secretos o configuración. La guía de insecure-defaults es fácil de aplicar porque se apoya en una pregunta simple: “¿Qué pasa cuando el valor falta?”. La parte delicada está en saber qué archivos son entradas reales en tiempo de ejecución y cuáles son meros marcadores de posición.

Cómo mejorar la skill insecure-defaults

Aporta evidencia más sólida en el prompt

La mejor forma de mejorar los resultados de insecure-defaults es incluir la variable o ruta exacta sensible desde el punto de vista de seguridad. Por ejemplo, “Comprueba si SECRET_KEY, DB_PASSWORD o JWT_SECRET tiene algún fallback en el código de arranque de producción” es mucho mejor que “encuentra problemas de seguridad”. Las entradas específicas ayudan a la skill a centrarse en valores por defecto explotables y no en ajustes de conveniencia inofensivos.

Separa producción de no producción

Un modo de fallo habitual es sobreinformar sobre valores por defecto en archivos solo locales, de prueba o de ejemplo. Indica a la skill qué directorios se despliegan y cuáles no. Si un fallback es intencional en desarrollo pero no está permitido en producción, dilo explícitamente para que la revisión pueda evaluar si ese límite se aplica de verdad.

Pide razonamiento, no solo hallazgos

Cuando iteres, solicita la ruta exacta del código y por qué el valor por defecto es peligroso. Por ejemplo: “Muestra si la app sigue arrancando cuando falta un secreto y explica el impacto si ese secreto firma sesiones o tokens”. Esto hace que insecure-defaults sea más útil para una Security Audit porque conecta cada hallazgo con su explotabilidad.

Refina tras la primera pasada

Si la primera salida es demasiado amplia, vuelve a ejecutarla con un alcance más estrecho: un servicio, una clase de configuración o un conjunto concreto de manifests de despliegue. Si necesitas más precisión, pide a la skill que priorice solo los casos fail-open que afecten a auth, cryptography o access control, y que omita los valores por defecto inocuos que no cambian la postura de seguridad.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

solana-vulnerability-scanner

por trailofbits

solana-vulnerability-scanner es un skill de auditoría de seguridad para Solana, enfocado en programas nativos en Rust y Anchor. Ayuda a revisar la lógica de CPI, la validación de PDA, las comprobaciones de firmante y propiedad, y el spoofing de sysvar para detectar seis vulnerabilidades críticas específicas de Solana antes del despliegue.

Security Audit

Favoritos 0GitHub 4.9k

sharp-edges

por trailofbits

La skill sharp-edges te ayuda a encontrar APIs, configuraciones e interfaces en las que el camino fácil acaba en un uso inseguro. Úsala para revisar flujos de autenticación, envoltorios criptográficos, valores predeterminados peligrosos, la semántica de null o cero y decisiones de diseño propensas a un uso incorrecto. Encaja especialmente bien para trabajos de sharp-edges en auditorías de seguridad cuando necesitas riesgos concretos de uso erróneo, no suposiciones genéricas sobre seguridad.

Security Audit

Favoritos 0GitHub 5k

security-review

por affaan-m

Usa la skill security-review para revisar autenticación, entrada de usuario, secretos, APIs, pagos, cargas de archivos y otros flujos sensibles. Ofrece una guía práctica de revisión de seguridad con comprobaciones claras de aprobado/rechazado, ejemplos de patrones de riesgo y un proceso enfocado para detectar problemas comunes antes del lanzamiento.

Security Audit

Favoritos 0GitHub 156.3k

django-security

por affaan-m

django-security es una guía práctica para reforzar apps de Django con autenticación, autorización, protección CSRF, prevención de XSS e inyección SQL, cookies seguras y ajustes de producción. Ayuda a desarrolladores y revisores a ejecutar una Security Audit enfocada, detectar rápido configuraciones de riesgo y aplicar correcciones concretas antes del despliegue.

Security Audit

Favoritos 0GitHub 156.1k

ossfuzz

por trailofbits

Aprende la skill de ossfuzz para configurar fuzzing continuo, registrar proyectos, planificar harnesses y revisar el flujo de compilación. Esta guía ayuda a ingenieros de seguridad y mantenedores a evaluar la preparación, detectar bloqueos de compilación y preparar una ruta práctica desde el árbol de código fuente hasta OSS-Fuzz o una infraestructura privada de fuzzing.

Security Audit

Favoritos 0GitHub 5k

codeql

por trailofbits

La skill de codeql te ayuda a ejecutar CodeQL con menos puntos ciegos durante una auditoría de seguridad. Se centra en la calidad de la base de datos, la selección de suites, las extensiones de datos y la revisión de SARIF, para que puedas usar codeql con más fiabilidad en los idiomas compatibles. Úsala para seguir pasos repetibles de la guía de codeql al analizar repositorios reales.

Security Audit

Favoritos 0GitHub 5k

semgrep-rule-creator

por trailofbits

semgrep-rule-creator crea reglas de Semgrep de calidad de producción para vulnerabilidades de seguridad, patrones de errores, detecciones de flujo de taint y estándares de codificación. Usa la skill semgrep-rule-creator para tareas de auditoría de seguridad cuando necesites reglas precisas, casos de prueba y validación, en lugar de un borrador genérico.

Security Audit

Favoritos 0GitHub 5k

constant-time-analysis

por trailofbits

constant-time-analysis es una skill de auditoría de seguridad para detectar riesgos de canal lateral por temporización en código criptográfico antes de que se conviertan en fallos explotables. Úsala para revisar matemáticas dependientes de secretos, ramas, comparaciones y el código compilado al auditar C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python o Ruby.

Security Audit

Favoritos 0GitHub 5k

secure-workflow-guide

por trailofbits

secure-workflow-guide guía un flujo de trabajo de seguridad en Solidity en 5 pasos: triaje con Slither, comprobaciones específicas por función, inspección visual, notas sobre propiedades de seguridad y revisión manual. Está pensado para equipos de smart contracts, auditores y builders que quieren una guía secure-workflow-guide repetible antes del despliegue o del lanzamiento.

Security Audit

Favoritos 0GitHub 4.9k

algorand-vulnerability-scanner

por trailofbits

algorand-vulnerability-scanner es una skill de auditoría de seguridad para Algorand TEAL y PyTeal. Ayuda a detectar 11 problemas comunes, incluidos ataques de rekeying, fallos en la validación de fees, comprobaciones de campos y errores de control de acceso. Usa la skill algorand-vulnerability-scanner como una revisión práctica inicial antes de una auditoría manual.

Security Audit

Favoritos 0GitHub 4.9k

supabase-postgres-best-practices

por supabase

supabase-postgres-best-practices es una skill de optimización de Supabase Postgres para ajustar consultas, indexación, diseño de esquemas, rendimiento de RLS, bloqueos y gestión de conexiones.

Database Engineering

Favoritos 0GitHub 1.7k

entra-agent-id

por microsoft

entra-agent-id es una skill de vista previa de Microsoft Entra Agent ID para equipos de desarrollo backend que crean identidades de agentes de IA con capacidad OAuth2 usando Graph beta. Cubre la configuración de blueprints, blueprint principals, identidades de agente, permisos, sponsors, federación de identidad de workload y autenticación basada en sidecar. Úsala para entender la instalación, el uso y las limitaciones de despliegue de entra-agent-id.

Backend Development

Favoritos 0GitHub 0

token-integration-analyzer

por trailofbits

token-integration-analyzer es una skill de revisión de seguridad para implementaciones e integraciones de tokens. Verifica la conformidad con ERC20/ERC721, patrones de tokens inusuales, privilegios del owner, escasez y el manejo de tokens no estándar en flujos de trabajo de Security Audit. Usa la guía de token-integration-analyzer para reducir la incertidumbre y evaluar el riesgo de compatibilidad.

Security Audit

Favoritos 0GitHub 4.9k

cosmos-vulnerability-scanner

por trailofbits

cosmos-vulnerability-scanner detecta fallos críticos para el consenso en módulos de Cosmos SDK, contratos CosmWasm, integraciones IBC y stacks de Cosmos EVM. Usa esta guía de cosmos-vulnerability-scanner para flujos de trabajo de auditoría de seguridad, riesgos de parada de cadena, rutas de pérdida de fondos y revisiones previas al lanzamiento.

Security Audit

Favoritos 0GitHub 4.9k

ruzzy

por trailofbits

ruzzy es un skill de fuzzing de Ruby guiado por cobertura para probar código Ruby puro y extensiones C de Ruby. Usa la guía de ruzzy para configurar un entorno Linux compatible, verificar la integración de sanitizers y crear flujos de trabajo de fuzzing prácticos para tareas de Security Audit.

Security Audit

Favoritos 0GitHub 5k

libfuzzer

por trailofbits

libfuzzer es un fuzzer guiado por cobertura para proyectos C/C++ compilados con Clang. Esta skill de libfuzzer te ayuda a instalarlo, entenderlo y usar el flujo de trabajo para crear harnesses para objetivos, ejecutar sanitizers y empezar una auditoría de seguridad práctica con una configuración mínima.

Security Audit

Favoritos 0GitHub 5k