security-and-hardening

por addyosmani

La skill security-and-hardening ayuda a endurecer el código de la aplicación antes del lanzamiento. Úsala para entrada de usuario, autenticación, sesiones, datos sensibles, cargas de archivos, webhooks y servicios externos, con comprobaciones concretas como validación de entrada, consultas parametrizadas, codificación de salida, cookies seguras, HTTPS y gestión de secretos.

Estrellas18.7k

Favoritos0

Comentarios0

Agregado21 abr 2026

CategoríaSecurity Audit

Comando de instalación

npx skills add addyosmani/agent-skills --skill security-and-hardening

Puntuación editorial

Esta skill obtiene 78/100 y merece incluirse: tiene condiciones de activación claras, bastante contenido de trabajo y suficiente orientación práctica de seguridad para ayudar a los agentes a endurecer código con menos dudas que un prompt genérico. Quienes consulten el directorio deberían verla como una skill sólida y reutilizable de lista de verificación de seguridad, aunque no como un flujo de trabajo completo respaldado por herramientas.

78/100

Puntos fuertes

Alta facilidad de activación: la descripción apunta con claridad a entrada no confiable, autenticación, almacenamiento e integraciones de terceros.
Orientación operativa sustancial: el cuerpo incluye controles explícitos de aplicación obligatoria como validación de entrada, consultas parametrizadas, codificación de salida, HTTPS, cookies seguras y hash de contraseñas.
Buen soporte para agentes: los encabezados y las reglas por niveles (“Always Do” frente a “Ask First”) facilitan que un agente respete de forma consistente los límites de seguridad.

Puntos a tener en cuenta

No se proporciona comando de instalación ni archivos de soporte, así que su adopción depende de leer SKILL.md en lugar de integrarla en un flujo de trabajo más amplio.
El extracto muestra un marcador de posición y no incluye scripts ni recursos complementarios, lo que limita las pruebas de verificaciones automatizadas o de un soporte de implementación más profundo.

Security Auth Xss Sql Injection Csrf Password API

Resumen

Descripción general de la skill security-and-hardening

La skill security-and-hardening ayuda a reforzar el código de aplicación contra vulnerabilidades comunes antes de que llegue a producción. Es ideal para desarrolladores, revisores y agentes de IA que trabajan en funciones que aceptan entrada no confiable, gestionan sesiones, almacenan datos sensibles o llaman a servicios externos. Si necesitas la skill security-and-hardening para trabajo de Security Audit, encaja especialmente bien cuando buscas comprobaciones a nivel de implementación, no solo una lista genérica de seguridad.

Para qué sirve esta skill

Usa security-and-hardening cuando la tarea sea reducir el riesgo de explotación en rutas de código reales: procesamiento de solicitudes, flujos de autenticación, acceso a bases de datos, cargas de archivos, webhooks y lógica de pagos o PII. La skill se centra en el control de fronteras, así que pone el foco en lo que debe ocurrir en el borde del sistema antes de que los datos lleguen al almacenamiento o a la lógica de negocio.

Qué la hace útil

Su valor principal está en los guardarraíles prácticos: validar la entrada pronto, parametrizar consultas, escapar la salida, proteger las sesiones, forzar HTTPS y evitar atajos inseguros en autenticación o secretos. Eso hace que la security-and-hardening guide sea útil cuando quieres menos suposiciones y más medidas defensivas concretas.

Cuándo encaja bien

Elige esta skill si tu prompt implica reforzar una funcionalidad existente, revisar código con riesgo o convertir una petición vaga de “haz esto seguro” en cambios concretos. Es especialmente relevante cuando el flujo incluye security-and-hardening usage en rutas de backend, formularios orientados al usuario o integraciones con APIs de terceros.

Cómo usar la skill security-and-hardening

Instala e inspecciona el origen

Para security-and-hardening install, usa:

npx skills add addyosmani/agent-skills --skill security-and-hardening

Empieza por SKILL.md, luego revisa el frontmatter y las secciones que indican cuándo usar la skill y qué debe suceder siempre. Este repositorio no tiene rules/, resources/ ni scripts de apoyo, así que SKILL.md es la fuente principal de verdad.

Dale a la skill la entrada correcta

La security-and-hardening skill funciona mejor cuando le das el alcance exacto y el contexto de amenazas. En lugar de decir “asegura esta app”, indica qué está expuesto, qué datos intervienen y qué restricciones de stack existen. Una buena entrada nombra la funcionalidad, la frontera de confianza y el riesgo:

Harden this password reset endpoint. It uses Express, PostgreSQL, and email links. Focus on input validation, token handling, rate limiting, and secure cookie/session behavior.

Eso es mejor que un prompt vago porque le da al modelo una frontera, un tipo de dato y un objetivo concreto.

Sigue un flujo de trabajo que empiece por la revisión

Un patrón fiable de security-and-hardening usage es: identificar entradas, mapear fronteras de confianza, revisar el almacenamiento y el manejo de la salida, y luego verificar la autenticación y las protecciones de transporte. Pide los cambios en el orden en que aparece la superficie de ataque, no en un orden aleatorio de incidencias. En tareas de Security Audit, esto ayuda a que la skill produzca hallazgos vinculados a rutas de código en lugar de consejos genéricos.

Vigila las restricciones de mayor impacto

El repositorio insiste en los no negociables: validar en el borde, parametrizar consultas, codificar la salida, usar cookies seguras y evitar secretos en texto plano. Cuando uses la skill, sé explícito sobre comportamientos del framework que puedan debilitar esos controles, como el escape desactivado, middleware de autenticación personalizado o construcción directa de SQL mediante cadenas.

Preguntas frecuentes sobre la skill security-and-hardening

¿Esto es solo para auditorías grandes?

No. security-and-hardening también es útil para funciones pequeñas que tocan datos sensibles. Un solo controlador de webhooks o un formulario de subida puede justificar la skill si acepta entrada externa o cambia fronteras de confianza.

¿En qué se diferencia de un prompt normal?

Un prompt normal puede pedir “buenas prácticas de seguridad” y recibir consejos genéricos. La skill security-and-hardening es más orientada a decisiones: empuja la respuesta hacia la validación de fronteras, valores defensivos por defecto y correcciones concretas que encajan con la ruta de código que se está modificando.

¿Es apta para principiantes?

Sí, si puedes describir la funcionalidad con claridad. Los principiantes obtienen más valor cuando aportan la ruta, el tipo de datos y el framework. La skill puede convertir eso en un plan de refuerzo más accionable que una lista general de seguridad.

¿Cuándo no debería usarla?

No la uses para cambios puramente estéticos, contenido estático de bajo riesgo o tareas en las que la seguridad no forme parte de los criterios de aceptación. Si el código no maneja entrada de usuario, secretos, sesiones o llamadas externas, probablemente la skill security-and-hardening sea innecesaria.

Cómo mejorar la skill security-and-hardening

Sé específico sobre la superficie de ataque

Cuanto mejores sean las entradas, mejor será la guía de hardening. Indica qué se puede atacar, qué datos son sensibles y dónde está la frontera. Por ejemplo, “review this file upload flow for path traversal, MIME spoofing, and unsafe storage” es mucho más sólido que “make uploads safer.”

Pide comprobaciones, no eslóganes

Los resultados más útiles de security-and-hardening skill nombran controles exactos: SQL parametrizado, codificación de salida, flags de cookies, manejo de CSRF, gestión de secretos y seguridad de transporte. Si quieres mejores resultados, pide cambios a nivel de código y también la razón por la que cada cambio bloquea un ataque realista.

Itera de riesgo a implementación

Empieza por la ruta de mayor riesgo y luego afina. Un flujo sólido de security-and-hardening guide es: primero pedir una revisión de amenazas, luego solicitar una versión parcheada y después pedir una pasada final sobre cabeceras, casos límite de autenticación y riesgo de dependencias. Así reduces la probabilidad de que la primera respuesta se enfoque demasiado en problemas de poco valor.

Comparte detalles del stack que afecten a las correcciones

Menciona el framework, la librería de auth, la base de datos y el entorno de despliegue. El hardening de seguridad cambia entre Express, Next.js, Rails, Django y entornos serverless, sobre todo en sesiones, cabeceras y validación de entrada. Cuanto más preciso sea el stack, menos recomendaciones desajustadas obtendrás en trabajos de security-and-hardening for Security Audit.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

security-review

por affaan-m

Usa la skill security-review para revisar autenticación, entrada de usuario, secretos, APIs, pagos, cargas de archivos y otros flujos sensibles. Ofrece una guía práctica de revisión de seguridad con comprobaciones claras de aprobado/rechazado, ejemplos de patrones de riesgo y un proceso enfocado para detectar problemas comunes antes del lanzamiento.

Security Audit

Favoritos 0GitHub 156.3k

django-security

por affaan-m

django-security es una guía práctica para reforzar apps de Django con autenticación, autorización, protección CSRF, prevención de XSS e inyección SQL, cookies seguras y ajustes de producción. Ayuda a desarrolladores y revisores a ejecutar una Security Audit enfocada, detectar rápido configuraciones de riesgo y aplicar correcciones concretas antes del despliegue.

Security Audit

Favoritos 0GitHub 156.1k

supabase-postgres-best-practices

por supabase

supabase-postgres-best-practices es una skill de optimización de Supabase Postgres para ajustar consultas, indexación, diseño de esquemas, rendimiento de RLS, bloqueos y gestión de conexiones.

Database Engineering

Favoritos 0GitHub 1.7k

audit-website

por squirrelscan

La skill audit-website usa la CLI de squirrel para auditar sitios web y aplicaciones web con más de 230 reglas de SEO, aspectos técnicos, contenido, rendimiento, seguridad, enlaces y salud del sitio, y devuelve informes accionables listos para LLM.

UX Audit

Favoritos 0GitHub 68

skill-comply

por affaan-m

skill-comply es una skill de pruebas de cumplimiento que comprueba si un agente sigue una skill, una regla o una definición de agente en ejecuciones reales. Genera especificaciones a partir de markdown, ejecuta tres niveles de rigor en los prompts, clasifica cronologías de llamadas a herramientas y ofrece tasas de cumplimiento con evidencia. Útil para skill-comply para revisión de cumplimiento.

Compliance Review

Favoritos 0GitHub 156.3k

security-scan

por affaan-m

La skill security-scan audita la configuración de .claude/ de Claude Code en busca de secretos, configuraciones MCP de riesgo, instrucciones propensas a inyección, banderas de omisión peligrosas y definiciones débiles de agentes o hooks usando AgentShield. Úsala para realizar comprobaciones de seguridad repetibles antes de hacer commit o incorporar nuevos miembros al proyecto.

Security Audit

Favoritos 0GitHub 156.3k

perl-security

por affaan-m

perl-security te ayuda a revisar código Perl para detectar problemas de manejo seguro de entradas, taint mode, ejecución de shell, marcadores de posición de DBI y riesgos de seguridad web como XSS, SQLi y CSRF. Usa esta skill de perl-security para tareas de auditoría de seguridad, planificación de remediación y desarrollo seguro cuando datos controlados por el usuario llegan a sinks sensibles.

Security Audit

Favoritos 0GitHub 156.2k

laravel-security

por affaan-m

La skill laravel-security es una lista de verificación práctica de seguridad en Laravel para autenticación, autorización, validación, CSRF, asignación masiva, subidas de archivos, secretos, limitación de tasa y despliegue seguro. Úsala para auditorías, revisión de funcionalidades y tareas de refuerzo en apps Laravel.

Security Audit

Favoritos 0GitHub 156.2k

healthcare-eval-harness

por affaan-m

healthcare-eval-harness es un entorno de evaluación de seguridad del paciente para despliegues de aplicaciones sanitarias. Ayuda a los equipos a verificar la precisión de CDSS, la exposición de PHI, la integridad de los datos, el comportamiento del flujo clínico y el cumplimiento de integraciones antes de publicar. Los fallos críticos bloquean el despliegue, por lo que resulta útil para healthcare-eval-harness en evaluaciones de modelos y como puerta de seguridad en CI.

Model Evaluation

Favoritos 0GitHub 156.2k

github-ops

por affaan-m

github-ops es una skill de operaciones en GitHub para clasificar incidencias, gestionar PR, revisar fallos de CI, preparar releases y supervisar la salud del repositorio con la CLI `gh`. Usa la skill github-ops cuando necesites un uso repetible de github-ops en un repositorio real, con autenticación mediante `gh auth login` y un contexto de repositorio claro.

Github

Favoritos 0GitHub 156.2k

ecc-tools-cost-audit

por affaan-m

ecc-tools-cost-audit es una skill de auditoría basada en evidencia para picos de coste en ECC Tools, creación descontrolada de PR, evasión de cuota, filtraciones de modelos premium y trabajos duplicados. Úsala en investigaciones de Backend Development que sigan una solicitud desde el webhook hasta el worker y la decisión de facturación, para demostrar dónde se está generando el gasto.

Backend Development

Favoritos 0GitHub 156.1k

defi-amm-security

por affaan-m

defi-amm-security es una lista de verificación de seguridad centrada en AMM de Solidity, pools de liquidez, vaults de LP y flujos de swap. Ayuda a auditores e ingenieros a revisar reentrancy, el orden CEI, ataques de donación o inflación, supuestos de oráculos, slippage, controles de administración y aritmética entera con menos improvisación que un prompt genérico.

Security Audit

Favoritos 0GitHub 156.1k

code-reviewer

por Shubhamsaboo

code-reviewer es una skill de revisión de código con IA que sigue un orden estricto de análisis: security, performance, correctness y maintainability. Usa archivos de reglas para SQL injection, XSS, N+1 queries, error handling, naming y type hints, lo que hace que las revisiones de PR sean más consistentes que con un prompt de revisión genérico.

Code Review

Favoritos 0GitHub 104.2k

stride-analysis-patterns

por wshobson

stride-analysis-patterns ayuda a los agentes a ejecutar un análisis estructurado de modelado de amenazas STRIDE para arquitecturas, APIs y flujos de datos. Instálala desde el repositorio wshobson/agents, revisa el archivo SKILL.md y úsala para convertir descripciones de sistemas en amenazas categorizadas y resultados de revisión centrados en controles.

Threat Modeling

Favoritos 0GitHub 32.6k

anti-reversing-techniques

por wshobson

anti-reversing-techniques es una skill de ingeniería inversa para análisis de malware autorizado, retos CTF, triaje de binarios empaquetados y auditorías de seguridad. Te ayuda a detectar patrones de anti-debugging, anti-VM, empaquetado y ofuscación, y a elegir un flujo de análisis práctico con la skill principal y la referencia avanzada.

Security Audit

Favoritos 0GitHub 32.6k

k8s-security-policies

por wshobson

k8s-security-policies ayuda a los equipos a definir NetworkPolicy de Kubernetes, etiquetas de Pod Security Standards y patrones de RBAC con plantillas y referencias basadas en repositorios para reforzar la seguridad y planificar despliegues listos para auditoría.

Security Audit

Favoritos 0GitHub 32.6k