secure-workflow-guide

por trailofbits

secure-workflow-guide guía un flujo de trabajo de seguridad en Solidity en 5 pasos: triaje con Slither, comprobaciones específicas por función, inspección visual, notas sobre propiedades de seguridad y revisión manual. Está pensado para equipos de smart contracts, auditores y builders que quieren una guía secure-workflow-guide repetible antes del despliegue o del lanzamiento.

Estrellas4.9k

Favoritos0

Comentarios0

Agregado30 abr 2026

CategoríaSecurity Audit

Comando de instalación

npx skills add trailofbits/skills --skill secure-workflow-guide

Puntuación editorial

Esta skill obtiene 84/100, lo que la convierte en una entrada sólida del directorio para personas que trabajan en flujos de seguridad de smart contracts. El repositorio ofrece condiciones de activación claras, un proceso concreto en 5 pasos y ejemplos de salida que ayudan a los agentes a ejecutar con menos incertidumbre que con un prompt genérico, aunque conviene esperar cierta configuración manual porque no incluye comando de instalación ni scripts de ayuda.

84/100

Puntos fuertes

Condición operativa clara: la skill dice explícitamente que debe usarse en cada check-in, antes del despliegue o cuando se necesite una revisión de seguridad.
Alta especificidad del flujo de trabajo: detalla un proceso seguro de desarrollo en 5 pasos con herramientas nombradas como Slither, slither-check-upgradeability, slither-check-erc y slither-prop.
Buen apoyo para agentes: los pasos del flujo y el informe de ejemplo muestran qué salidas generar y cómo interpretar los hallazgos, reduciendo la ambigüedad de ejecución.

Puntos a tener en cuenta

No se proporciona comando de instalación ni scripts, así que puede que los usuarios tengan que deducir cómo integrar la skill en su entorno.
Los archivos de apoyo se limitan a dos recursos y no hay referencias, lo que reduce la profundidad para implementación o verificación en casos límite.

Security Solidity Smart Contracts Slither Audit Workflows Diagrams

Resumen

Descripción general de la skill secure-workflow-guide

La skill secure-workflow-guide te ayuda a aplicar el flujo de trabajo seguro de 5 pasos de Trail of Bits sobre una base de código Solidity, no solo a lanzar un análisis puntual. Es ideal para equipos de smart contracts, auditores y builders que quieren un recorrido repetible desde “¿qué parece arriesgado?” hasta “¿qué deberíamos verificar después?” antes del despliegue o del release.

Para qué sirve esta skill

La skill secure-workflow-guide se centra en la triage práctica de seguridad: detectar problemas conocidos, identificar qué comprobaciones especializadas aplican, inspeccionar la estructura de forma visual, documentar propiedades de seguridad y revisar superficies de ataque manuales. Por eso resulta especialmente útil como secure-workflow-guide para Security Audit cuando necesitas una cobertura que vaya más allá de un consejo genérico de prompt.

Quién debería usarla

Úsala si tu repo contiene contratos Solidity, patrones upgradeables, tokens ERC o integraciones que requieren revisión de seguridad. Encaja especialmente bien cuando ya tienes código y quieres un flujo de trabajo que te ayude a priorizar hallazgos, elegir las comprobaciones de seguimiento correctas y evitar ejecutar herramientas irrelevantes.

Qué la diferencia

A diferencia de un prompt genérico de “revisa este contrato”, secure-workflow-guide tiene una forma de flujo de trabajo. Te da una secuencia de seguridad: triage primero con Slither, comprobaciones de funciones especiales solo donde correspondan, inspección basada en diagramas, documentación de propiedades y guía para revisión manual. Esa estructura reduce la improvisación y ayuda a evitar auditorías superficiales que pasan por alto riesgos específicos del contrato.

Cómo usar la skill secure-workflow-guide

Instálala y actívala correctamente

Instala con:

npx skills add trailofbits/skills --skill secure-workflow-guide

Después, invoca la skill secure-workflow-guide con un repo concreto y un objetivo de seguridad específico. Los mejores prompts nombran el tipo de contrato, la arquitectura sospechada y la decisión que necesitas. Por ejemplo: “Run secure-workflow-guide on this UUPS staking system and focus on upgrade safety, access control, and ERC20 assumptions.”

Dale a la skill la entrada adecuada

El uso de secure-workflow-guide funciona mejor cuando proporcionas:

el repositorio o la ruta del contrato de destino
si el código es upgradeable, tipo token o intensivo en integraciones
en qué fase estás: pre-merge, pre-deploy o preparación para auditoría
cualquier preocupación conocida, como initialization, auth o proxy storage layout

Un prompt débil sería “check this project”. Uno más sólido sería “Use secure-workflow-guide on contracts/ and prioritize upgradeability, token handling, and high-severity Slither findings.”

Lee primero estos archivos

Empieza con SKILL.md, luego revisa resources/WORKFLOW_STEPS.md para ver la secuencia exacta de 5 pasos y resources/EXAMPLE_REPORT.md para entender la forma esperada del resultado. Si quieres hacerte una idea rápida del repositorio, esos dos recursos son más útiles que recorrer todo el árbol de archivos.

Sigue el flujo de trabajo en orden

No saltes directamente a las comprobaciones especiales. La guía secure-workflow-guide está diseñada para empezar por los problemas conocidos y luego abrir solo las comprobaciones que tu base de código realmente necesita. Ese orden importa porque evita que pierdas tiempo en análisis irrelevantes y ayuda a sacar primero los arreglos de mayor valor.

Preguntas frecuentes sobre la skill secure-workflow-guide

¿secure-workflow-guide es solo para Solidity?

Está pensada para la revisión de smart contracts en Solidity. Si tu proyecto no es una base de código de contratos EVM, la skill secure-workflow-guide suele ser una mala opción y puede convenirte más un prompt genérico de revisión de código.

¿En qué se diferencia de un prompt normal?

Un prompt normal puede pedir una revisión, pero secure-workflow-guide incorpora un flujo de trabajo de seguridad: escanear, clasificar, inspeccionar, documentar y verificar. Eso la hace mejor cuando quieres una preparación de auditoría consistente en lugar de una opinión improvisada.

¿Es apta para principiantes?

Sí, si puedes apuntarla a un repo y nombrar tu objetivo. No necesitas conocer de antemano todos los plugins de Slither. La skill resulta más útil cuando puedes describir la forma del contrato, porque así secure-workflow-guide puede elegir las ramas adecuadas del flujo de trabajo.

¿Cuándo no debería usarla?

No la uses como sustituto del juicio de una auditoría formal, y no esperes que valide sistemas que no son contratos, como la lógica de frontend o backend. Es más eficaz cuando la pregunta es: “¿Qué flujo de trabajo de seguridad debería ejecutar sobre esta base de código Solidity?”

Cómo mejorar la skill secure-workflow-guide

Dale un contexto más preciso

Las mayores mejoras de calidad vienen de decirle a la skill secure-workflow-guide qué es lo más importante: seguridad de upgrades, comportamiento de tokens, autorización, initialization o integraciones externas. Si la primera salida se siente demasiado amplia, acota la tarea a una sola familia de contratos o a una sola clase de riesgo.

Aporta artefactos concretos, no solo intención

Si puedes, señala contratos específicos, nombres de proxies, estándares de tokens o supuestos que quieras comprobar. “Review the staking system” es más débil que “Review Staking.sol and StakingProxy.sol for initialization, role gating, and storage compatibility.” El segundo prompt mejora el uso de secure-workflow-guide porque reduce la ambigüedad sobre qué comprobaciones debe priorizar.

Itera a partir de hallazgos, no de todo el repo

Después del primer pase, devuelve los resultados más importantes y pide la siguiente decisión: priorización de correcciones, triage de falsos positivos o una revisión manual más profunda. Suele ser mejor que pedir una ejecución completamente nueva. Para secure-workflow-guide para Security Audit, las mejores salidas llegan cuando acotas el alcance después del primer informe, no cuando lo amplías sin criterio.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

solana-vulnerability-scanner

por trailofbits

solana-vulnerability-scanner es un skill de auditoría de seguridad para Solana, enfocado en programas nativos en Rust y Anchor. Ayuda a revisar la lógica de CPI, la validación de PDA, las comprobaciones de firmante y propiedad, y el spoofing de sysvar para detectar seis vulnerabilidades críticas específicas de Solana antes del despliegue.

Security Audit

Favoritos 0GitHub 4.9k

security-review

por affaan-m

Usa la skill security-review para revisar autenticación, entrada de usuario, secretos, APIs, pagos, cargas de archivos y otros flujos sensibles. Ofrece una guía práctica de revisión de seguridad con comprobaciones claras de aprobado/rechazado, ejemplos de patrones de riesgo y un proceso enfocado para detectar problemas comunes antes del lanzamiento.

Security Audit

Favoritos 0GitHub 156.3k

django-security

por affaan-m

django-security es una guía práctica para reforzar apps de Django con autenticación, autorización, protección CSRF, prevención de XSS e inyección SQL, cookies seguras y ajustes de producción. Ayuda a desarrolladores y revisores a ejecutar una Security Audit enfocada, detectar rápido configuraciones de riesgo y aplicar correcciones concretas antes del despliegue.

Security Audit

Favoritos 0GitHub 156.1k

algorand-vulnerability-scanner

por trailofbits

algorand-vulnerability-scanner es una skill de auditoría de seguridad para Algorand TEAL y PyTeal. Ayuda a detectar 11 problemas comunes, incluidos ataques de rekeying, fallos en la validación de fees, comprobaciones de campos y errores de control de acceso. Usa la skill algorand-vulnerability-scanner como una revisión práctica inicial antes de una auditoría manual.

Security Audit

Favoritos 0GitHub 4.9k

supabase-postgres-best-practices

por supabase

supabase-postgres-best-practices es una skill de optimización de Supabase Postgres para ajustar consultas, indexación, diseño de esquemas, rendimiento de RLS, bloqueos y gestión de conexiones.

Database Engineering

Favoritos 0GitHub 1.7k

token-integration-analyzer

por trailofbits

token-integration-analyzer es una skill de revisión de seguridad para implementaciones e integraciones de tokens. Verifica la conformidad con ERC20/ERC721, patrones de tokens inusuales, privilegios del owner, escasez y el manejo de tokens no estándar en flujos de trabajo de Security Audit. Usa la guía de token-integration-analyzer para reducir la incertidumbre y evaluar el riesgo de compatibilidad.

Security Audit

Favoritos 0GitHub 4.9k

cosmos-vulnerability-scanner

por trailofbits

cosmos-vulnerability-scanner detecta fallos críticos para el consenso en módulos de Cosmos SDK, contratos CosmWasm, integraciones IBC y stacks de Cosmos EVM. Usa esta guía de cosmos-vulnerability-scanner para flujos de trabajo de auditoría de seguridad, riesgos de parada de cadena, rutas de pérdida de fondos y revisiones previas al lanzamiento.

Security Audit

Favoritos 0GitHub 4.9k

audit-website

por squirrelscan

La skill audit-website usa la CLI de squirrel para auditar sitios web y aplicaciones web con más de 230 reglas de SEO, aspectos técnicos, contenido, rendimiento, seguridad, enlaces y salud del sitio, y devuelve informes accionables listos para LLM.

UX Audit

Favoritos 0GitHub 68

skill-comply

por affaan-m

skill-comply es una skill de pruebas de cumplimiento que comprueba si un agente sigue una skill, una regla o una definición de agente en ejecuciones reales. Genera especificaciones a partir de markdown, ejecuta tres niveles de rigor en los prompts, clasifica cronologías de llamadas a herramientas y ofrece tasas de cumplimiento con evidencia. Útil para skill-comply para revisión de cumplimiento.

Compliance Review

Favoritos 0GitHub 156.3k

security-scan

por affaan-m

La skill security-scan audita la configuración de .claude/ de Claude Code en busca de secretos, configuraciones MCP de riesgo, instrucciones propensas a inyección, banderas de omisión peligrosas y definiciones débiles de agentes o hooks usando AgentShield. Úsala para realizar comprobaciones de seguridad repetibles antes de hacer commit o incorporar nuevos miembros al proyecto.

Security Audit

Favoritos 0GitHub 156.3k

perl-security

por affaan-m

perl-security te ayuda a revisar código Perl para detectar problemas de manejo seguro de entradas, taint mode, ejecución de shell, marcadores de posición de DBI y riesgos de seguridad web como XSS, SQLi y CSRF. Usa esta skill de perl-security para tareas de auditoría de seguridad, planificación de remediación y desarrollo seguro cuando datos controlados por el usuario llegan a sinks sensibles.

Security Audit

Favoritos 0GitHub 156.2k

laravel-security

por affaan-m

La skill laravel-security es una lista de verificación práctica de seguridad en Laravel para autenticación, autorización, validación, CSRF, asignación masiva, subidas de archivos, secretos, limitación de tasa y despliegue seguro. Úsala para auditorías, revisión de funcionalidades y tareas de refuerzo en apps Laravel.

Security Audit

Favoritos 0GitHub 156.2k

healthcare-eval-harness

por affaan-m

healthcare-eval-harness es un entorno de evaluación de seguridad del paciente para despliegues de aplicaciones sanitarias. Ayuda a los equipos a verificar la precisión de CDSS, la exposición de PHI, la integridad de los datos, el comportamiento del flujo clínico y el cumplimiento de integraciones antes de publicar. Los fallos críticos bloquean el despliegue, por lo que resulta útil para healthcare-eval-harness en evaluaciones de modelos y como puerta de seguridad en CI.

Model Evaluation

Favoritos 0GitHub 156.2k

github-ops

por affaan-m

github-ops es una skill de operaciones en GitHub para clasificar incidencias, gestionar PR, revisar fallos de CI, preparar releases y supervisar la salud del repositorio con la CLI `gh`. Usa la skill github-ops cuando necesites un uso repetible de github-ops en un repositorio real, con autenticación mediante `gh auth login` y un contexto de repositorio claro.

Github

Favoritos 0GitHub 156.2k

ecc-tools-cost-audit

por affaan-m

ecc-tools-cost-audit es una skill de auditoría basada en evidencia para picos de coste en ECC Tools, creación descontrolada de PR, evasión de cuota, filtraciones de modelos premium y trabajos duplicados. Úsala en investigaciones de Backend Development que sigan una solicitud desde el webhook hasta el worker y la decisión de facturación, para demostrar dónde se está generando el gasto.

Backend Development

Favoritos 0GitHub 156.1k

defi-amm-security

por affaan-m

defi-amm-security es una lista de verificación de seguridad centrada en AMM de Solidity, pools de liquidez, vaults de LP y flujos de swap. Ayuda a auditores e ingenieros a revisar reentrancy, el orden CEI, ataques de donación o inflación, supuestos de oráculos, slippage, controles de administración y aritmética entera con menos improvisación que un prompt genérico.

Security Audit

Favoritos 0GitHub 156.1k