security-ownership-map

por openai

Usa security-ownership-map para analizar el historial de git y detectar riesgo de propiedad de seguridad, bus factor y control de código sensible. Mapea personas a archivos, identifica áreas huérfanas o con poca propiedad y exporta CSV/JSON para análisis de grafos. Es ideal para preguntas de auditoría de seguridad, verificaciones de realidad de CODEOWNERS y clústeres de propiedad basados en el historial de commits.

Estrellas0

Favoritos0

Comentarios0

Agregado8 may 2026

CategoríaSecurity Audit

Comando de instalación

npx skills add openai/skills --skill security-ownership-map

Puntuación editorial

Esta skill obtiene 84/100, lo que indica que es una ficha sólida para usuarios que necesitan análisis de propiedad de seguridad basado en el historial de git. Ofrece a los agentes un disparador claro, un flujo de trabajo definido y scripts ejecutables para construir y consultar un grafo de propiedad, así que el valor de instalación es real y no solo teórico.

84/100

Puntos fuertes

Guía de disparo explícita para análisis de propiedad orientado a seguridad y bus factor, lo que reduce errores con preguntas genéricas sobre mantenedores.
El flujo operativo es concreto: construir el mapa, calcular comunidades por defecto, consultar JSON acotado y, opcionalmente, importar a Neo4j/Gephi.
Varios scripts y referencias de apoyo aportan una capacidad real de ejecución más allá de una skill basada solo en prompts.

Puntos a tener en cuenta

No incluye comando de instalación en SKILL.md, así que los usuarios deben inferir la configuración de Python/dependencias y cómo integrarlo en su entorno.
La skill está especializada en el riesgo de propiedad a partir del historial de git; no es una herramienta general de mantenedores ni de propiedad de código.

Git Python Visualization Graphviz Neo4j Security Bus Factor Ownership

Resumen

Descripción general de la skill `security-ownership-map`

Qué hace `security-ownership-map`

La skill security-ownership-map analiza el historial de git para mapear personas a archivos, estimar el riesgo de bus factor e identificar la propiedad de código sensible. Está pensada para preguntas centradas en seguridad, no para búsquedas genéricas de responsables de mantenimiento. Usa security-ownership-map cuando necesites una visión práctica de quién toca realmente auth, crypto, secrets, IAM u otras áreas sensibles.

Quién debería usarla

Esta skill encaja bien para auditores de seguridad, equipos de plataforma, responsables de ingeniería y mantenedores de repositorios que necesitan respuestas basadas en evidencia sobre vacíos de ownership. La skill security-ownership-map ayuda cuando CODEOWNERS está desactualizado, una ruta crítica tiene muy pocos editores activos o necesitas explicar el riesgo usando el historial de commits en lugar de suposiciones.

Por qué es diferente

A diferencia de un prompt genérico, security-ownership-map genera salidas estructuradas para análisis de grafos y consultas de seguimiento. También incluye valores predeterminados integrados para detectar rutas sensibles y agrupar co-cambios, lo que ayuda a sacar a la luz clústeres de ownership y áreas huérfanas sin tener que construir el análisis manualmente cada vez. El punto clave de decisión: úsala cuando la tarea sea evaluar el riesgo de ownership de seguridad a partir del historial, no solo listar contribuidores.

Cómo usar la skill `security-ownership-map`

Instala `security-ownership-map`

Usa el flujo de instalación estándar del directorio de skills: npx skills add openai/skills --skill security-ownership-map. Después de instalarla, confirma la ruta del repositorio y abre primero skills/.curated/security-ownership-map/SKILL.md para entender el alcance, los valores predeterminados y las expectativas de salida antes de ejecutar el análisis.

Lee primero estos archivos

Para security-ownership-map usage, empieza por SKILL.md, y luego revisa scripts/run_ownership_map.py, scripts/build_ownership_map.py, scripts/query_ownership.py y references/neo4j-import.md. agents/openai.yaml es útil para entender la intención por defecto, mientras que los scripts muestran el comportamiento real de la línea de comandos, los filtros y los nombres de salida que necesitarás en un repositorio real.

Convierte una petición vaga en un buen prompt

Los mejores resultados llegan con un prompt que nombre el repositorio, la preocupación de seguridad y la ventana temporal. Por ejemplo: “Ejecuta security-ownership-map en este repositorio e identifica riesgos de bus factor en auth/, oauth/ y secrets/ durante los últimos 12 meses. Excluye commits solo de bots, resume los archivos de mayor riesgo y destaca cualquier desajuste con CODEOWNERS.” Eso es más sólido que “analiza ownership”, porque le da a la skill un objetivo, un alcance y un criterio de decisión.

Flujo de trabajo que mejora de forma tangible la salida

Usa el ejecutor de una sola pasada cuando quieras un camino rápido de security-ownership-map install a resultado: scripts/run_ownership_map.py construye el dataset, scripts/query_ownership.py lo segmenta y references/neo4j-import.md da soporte a la importación del grafo. Si un repositorio tiene un historial ruidoso, acota con --since y --until, excluye automatización y revisa las reglas de rutas sensibles antes de confiar en el resultado final de bus factor.

Preguntas frecuentes sobre la skill `security-ownership-map`

¿Sirve para preguntas generales de ownership?

No. La guía security-ownership-map está orientada al análisis de ownership con foco en seguridad y basado en el historial de git. Si solo necesitas una lista de contribuidores, el responsable de un módulo o un resumen ligero del proyecto, normalmente basta con un prompt estándar o una búsqueda rápida en el repositorio.

¿Sustituye a `CODEOWNERS`?

No. Funciona mejor como una comprobación de realidad. security-ownership-map for Security Audit te dice quién ha cambiado de verdad el código sensible, y eso puede diferir del ownership asignado. Por eso resulta útil para detectar mapeos obsoletos, puntos únicos de fallo ocultos y archivos que parecen cubiertos pero en realidad no lo están.

¿Es apta para principiantes?

Sí, si puedes apuntarla a un repositorio git y describir el alcance de seguridad. El error más común es ser demasiado vago. La skill funciona mejor cuando especificas qué rutas, etiquetas o temas de riesgo importan, porque eso determina el grafo de ownership y la interpretación final.

¿Cuáles son las principales limitaciones?

Depende de la calidad del historial de git. Un historial escaso, historial reescrito, repositorios con muchos bots y commits mecánicos de gran tamaño pueden distorsionar las señales de ownership. Si el repositorio tiene muchos archivos generados o mucho movimiento propio de un monorepo, quizá necesites filtros más estrictos o una ventana temporal más acotada antes de que la salida sea válida para tomar decisiones.

Cómo mejorar la skill `security-ownership-map`

Da señales de alcance más fuertes

La mejora de calidad más grande viene de nombrar rutas exactas y categorías de riesgo. En lugar de “encuentra archivos de riesgo”, pide “archivos de gestión de auth, tokens y claves modificados en los últimos 180 días”. Eso ayuda a security-ownership-map a ponderar el historial correcto y a evitar sobreajustarse a cambios sin relación.

Reduce el ruido antes de confiar en el grafo

Si la salida se ve saturada, excluye ruido de merges, bots o actualizaciones amplias de dependencias y vuelve a ejecutarla. La skill security-ownership-map funciona mejor cuando la atribución de commits refleja mantenimiento humano real, así que filtrar cambios estilo dependabot y commits enormes que afectan a muchas áreas suele mejorar el mapa de ownership más que añadir más contexto.

Itera con consultas de seguimiento

Usa la primera ejecución para encontrar los archivos y las personas que importan, y luego consulta fragmentos más concretos con scripts/query_ownership.py. Un buen prompt de segunda pasada podría pedir los archivos sensibles principales con bus factor 1 o la comunidad en torno a una única ruta de riesgo. Eso convierte la skill de un escaneo amplio en una revisión accionable.

Mejora la calidad de decisión, no solo el volumen de salida

Cuando quieras mejorar security-ownership-map usage, pide puntos de comparación: “¿Qué archivos sensibles están efectivamente huérfanos?”, “¿Dónde discrepa CODEOWNERS del historial?”, o “¿Qué clústeres tienen un único mantenedor y por qué?”. Esas preguntas obligan a la skill a explicar el riesgo, no solo a listar nombres, que es el valor principal para una auditoría de seguridad.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

security-threat-model

por openai

Skill security-threat-model, basada en el repositorio, para modelado de amenazas en AppSec. Convierte límites de confianza, activos, objetivos del atacante, rutas de abuso y mitigaciones en un modelo de amenazas conciso en Markdown. Úsala cuando necesites security-threat-model para Threat Modeling sobre un repo o ruta específicos, no para una revisión genérica de arquitectura ni para una comprobación de código.

Threat Modeling

Favoritos 0GitHub 0

solana-vulnerability-scanner

por trailofbits

solana-vulnerability-scanner es un skill de auditoría de seguridad para Solana, enfocado en programas nativos en Rust y Anchor. Ayuda a revisar la lógica de CPI, la validación de PDA, las comprobaciones de firmante y propiedad, y el spoofing de sysvar para detectar seis vulnerabilidades críticas específicas de Solana antes del despliegue.

Security Audit

Favoritos 0GitHub 4.9k

azure-ai-contentsafety-ts

por microsoft

azure-ai-contentsafety-ts ayuda a analizar texto e imágenes en busca de contenido dañino con Azure AI Content Safety en TypeScript. Usa esta skill para flujos de moderación, listas de bloqueo y comprobaciones de auditoría de seguridad sobre odio, violencia, contenido sexual y autolesiones. También incluye la configuración del endpoint de Azure y la autenticación.

Security Audit

Favoritos 0GitHub 2.3k

sharp-edges

por trailofbits

La skill sharp-edges te ayuda a encontrar APIs, configuraciones e interfaces en las que el camino fácil acaba en un uso inseguro. Úsala para revisar flujos de autenticación, envoltorios criptográficos, valores predeterminados peligrosos, la semántica de null o cero y decisiones de diseño propensas a un uso incorrecto. Encaja especialmente bien para trabajos de sharp-edges en auditorías de seguridad cuando necesitas riesgos concretos de uso erróneo, no suposiciones genéricas sobre seguridad.

Security Audit

Favoritos 0GitHub 5k

security-review

por affaan-m

Usa la skill security-review para revisar autenticación, entrada de usuario, secretos, APIs, pagos, cargas de archivos y otros flujos sensibles. Ofrece una guía práctica de revisión de seguridad con comprobaciones claras de aprobado/rechazado, ejemplos de patrones de riesgo y un proceso enfocado para detectar problemas comunes antes del lanzamiento.

Security Audit

Favoritos 0GitHub 156.3k

django-security

por affaan-m

django-security es una guía práctica para reforzar apps de Django con autenticación, autorización, protección CSRF, prevención de XSS e inyección SQL, cookies seguras y ajustes de producción. Ayuda a desarrolladores y revisores a ejecutar una Security Audit enfocada, detectar rápido configuraciones de riesgo y aplicar correcciones concretas antes del despliegue.

Security Audit

Favoritos 0GitHub 156.1k

exploiting-insecure-data-storage-in-mobile

por mukul975

La skill de almacenamiento inseguro en móvil ayuda a evaluar y extraer evidencias de almacenamiento local inseguro en apps Android e iOS. Cubre SharedPreferences, bases de datos SQLite, archivos plist, archivos legibles por todos, exposición en copias de seguridad y un manejo débil de keychain/keystore, útil para pentesting móvil y flujos de trabajo de auditoría de seguridad.

Security Audit

Favoritos 0GitHub 6.2k

detecting-s3-data-exfiltration-attempts

por mukul975

detecting-s3-data-exfiltration-attempts ayuda a investigar posibles robos de datos en AWS S3 correlacionando eventos de datos de S3 de CloudTrail, hallazgos de GuardDuty, alertas de Amazon Macie y patrones de acceso a S3. Usa esta skill detecting-s3-data-exfiltration-attempts para auditorías de seguridad, respuesta a incidentes y análisis de descargas masivas sospechosas.

Security Audit

Favoritos 0GitHub 6.2k

building-incident-response-playbook

por mukul975

building-incident-response-playbook ayuda a los equipos de seguridad a crear playbooks reutilizables de respuesta a incidentes con fases paso a paso, árboles de decisión, criterios de escalado, asignación de responsabilidades RACI y una estructura lista para SOAR. Está pensado para documentar procedimientos de respuesta a incidentes, flujos de trabajo de triaje de incidentes y planes operativos de respuesta aptos para auditoría.

Incident Triage

Favoritos 0GitHub 6.1k

building-patch-tuesday-response-process

por mukul975

building-patch-tuesday-response-process ayuda a los equipos a crear un proceso repetible para Microsoft Patch Tuesday: clasificar avisos, priorizar riesgos, probar parches, aprobar su despliegue y hacer seguimiento del cumplimiento. Resulta útil para operaciones de seguridad, gestión de vulnerabilidades y building-patch-tuesday-response-process en Project Management.

Project Management

Favoritos 0GitHub 6.1k

ossfuzz

por trailofbits

Aprende la skill de ossfuzz para configurar fuzzing continuo, registrar proyectos, planificar harnesses y revisar el flujo de compilación. Esta guía ayuda a ingenieros de seguridad y mantenedores a evaluar la preparación, detectar bloqueos de compilación y preparar una ruta práctica desde el árbol de código fuente hasta OSS-Fuzz o una infraestructura privada de fuzzing.

Security Audit

Favoritos 0GitHub 5k

codeql

por trailofbits

La skill de codeql te ayuda a ejecutar CodeQL con menos puntos ciegos durante una auditoría de seguridad. Se centra en la calidad de la base de datos, la selección de suites, las extensiones de datos y la revisión de SARIF, para que puedas usar codeql con más fiabilidad en los idiomas compatibles. Úsala para seguir pasos repetibles de la guía de codeql al analizar repositorios reales.

Security Audit

Favoritos 0GitHub 5k

semgrep-rule-creator

por trailofbits

semgrep-rule-creator crea reglas de Semgrep de calidad de producción para vulnerabilidades de seguridad, patrones de errores, detecciones de flujo de taint y estándares de codificación. Usa la skill semgrep-rule-creator para tareas de auditoría de seguridad cuando necesites reglas precisas, casos de prueba y validación, en lugar de un borrador genérico.

Security Audit

Favoritos 0GitHub 5k

insecure-defaults

por trailofbits

La skill insecure-defaults ayuda a detectar patrones de configuración fail-open que hacen que el software siga funcionando con ajustes inseguros en vez de detenerse. Úsala en una auditoría de seguridad de código en producción, configuraciones de despliegue y lógica de manejo de secretos para identificar autenticación débil, secretos incrustados y valores predeterminados demasiado permisivos.

Security Audit

Favoritos 0GitHub 5k

constant-time-analysis

por trailofbits

constant-time-analysis es una skill de auditoría de seguridad para detectar riesgos de canal lateral por temporización en código criptográfico antes de que se conviertan en fallos explotables. Úsala para revisar matemáticas dependientes de secretos, ramas, comparaciones y el código compilado al auditar C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python o Ruby.

Security Audit

Favoritos 0GitHub 5k

secure-workflow-guide

por trailofbits

secure-workflow-guide guía un flujo de trabajo de seguridad en Solidity en 5 pasos: triaje con Slither, comprobaciones específicas por función, inspección visual, notas sobre propiedades de seguridad y revisión manual. Está pensado para equipos de smart contracts, auditores y builders que quieren una guía secure-workflow-guide repetible antes del despliegue o del lanzamiento.

Security Audit

Favoritos 0GitHub 4.9k

security-ownership-map

Descripción general de la skill security-ownership-map

Qué hace security-ownership-map

Quién debería usarla

Por qué es diferente

Cómo usar la skill security-ownership-map

Instala security-ownership-map

Lee primero estos archivos

Convierte una petición vaga en un buen prompt

Flujo de trabajo que mejora de forma tangible la salida

Preguntas frecuentes sobre la skill security-ownership-map

¿Sirve para preguntas generales de ownership?

¿Sustituye a CODEOWNERS?

¿Es apta para principiantes?

¿Cuáles son las principales limitaciones?

Cómo mejorar la skill security-ownership-map

Da señales de alcance más fuertes

Reduce el ruido antes de confiar en el grafo

Itera con consultas de seguimiento

Mejora la calidad de decisión, no solo el volumen de salida

Calificaciones y reseñas

Descripción general de la skill `security-ownership-map`

Qué hace `security-ownership-map`

Cómo usar la skill `security-ownership-map`

Instala `security-ownership-map`

Preguntas frecuentes sobre la skill `security-ownership-map`

¿Sustituye a `CODEOWNERS`?

Cómo mejorar la skill `security-ownership-map`