Security Audit

springboot-security est un guide pratique de sécurité Spring Boot pour l’authentification, l’autorisation, la validation, CSRF/CORS, les secrets, les en-têtes, la limitation de débit et les contrôles de dépendances. Utilisez le skill springboot-security pour des travaux d’audit de sécurité ou pour durcir un service Java avec moins de risques de mauvaise configuration de sécurité.

skill-comply est une compétence de test de conformité qui vérifie, en conditions réelles, si un agent respecte une skill, une règle ou une définition d’agent. Elle génère des spécifications à partir de markdown, exécute trois niveaux de rigueur des prompts, classe les chronologies d’appels d’outils et fournit des taux de conformité avec preuves à l’appui. Utile pour skill-comply pour la conformité.

La skill security-scan audite la configuration .claude/ de Claude Code à la recherche de secrets, de configurations MCP risquées, d’instructions vulnérables à l’injection, de flags de contournement dangereux et de définitions d’agent ou de hook trop faibles, à l’aide d’AgentShield. Utilisez-la pour des contrôles de sécurité reproductibles avant un commit ou une intégration.

Utilisez la skill security-review pour passer en revue l’authentification, les entrées utilisateur, les secrets, les API, les paiements, les uploads et d’autres flux sensibles. Elle fournit un guide pratique de revue de sécurité avec des vérifications claires de type réussite/échec, des exemples de schémas à risque et une méthode ciblée pour repérer les problèmes courants avant la mise en production.

security-bounty-hunter vous aide à repérer dans les dépôts des vulnérabilités susceptibles d’être récompensées, en mettant l’accent sur les failles accessibles à distance, contrôlables par l’utilisateur et susceptibles de passer le triage. Utilisez-la pour des missions de Security Audit lorsque vous cherchez des constats concrets et présentables, plutôt que du bruit lié à des problèmes purement locaux.

repo-scan est une compétence d’audit de code multi-stack qui classe les fichiers, détecte les bibliothèques tierces intégrées et vous aide à déterminer ce qui est essentiel, dupliqué ou superflu. Elle est utile pour repo-scan pour la revue de code, les migrations d’anciens dépôts et la préparation de refontes. Consultez dans la compétence les indications d’installation et d’utilisation de repo-scan.

perl-security vous aide à auditer du code Perl pour améliorer la gestion des entrées, le mode taint, l’exécution de commandes shell, les paramètres DBI et les problèmes de sécurité web comme XSS, SQLi et CSRF. Utilisez ce skill perl-security pour les audits de sécurité, la planification des remédiations et le développement sécurisé lorsque des données contrôlées par l’utilisateur atteignent des points sensibles.

llm-trading-agent-security est un guide pratique pour sécuriser des agents de trading autonomes disposant d’une autorité sur un wallet. Il couvre l’injection de prompts, les limites de dépense, la simulation avant envoi, les coupe-circuits, l’exécution sensible au MEV et l’isolation des clés afin de réduire le risque de perte financière dans un audit de sécurité.

Le skill laravel-security est une checklist pratique de sécurité Laravel couvrant l’authentification et l’autorisation, la validation, CSRF, la mass assignment, les envois de fichiers, les secrets, le rate limiting et le déploiement sécurisé. Utilisez-le pour les audits, les revues de fonctionnalités et le renforcement de la sécurité des applications Laravel.

hipaa-compliance est le point d’entrée dédié à la HIPAA pour les sujets de confidentialité et de sécurité dans le secteur de la santé. Utilisez la skill hipaa-compliance lorsqu’une tâche concerne explicitement les PHI, les covered entities, les BAA, la posture face aux violations de données, ou la question de savoir si un workflow crée une exposition HIPAA. Il s’agit d’une fine couche de routage, conçue pour un tri rapide et des conseils de conformité.

healthcare-phi-compliance aide à examiner les applications de santé pour détecter les risques liés aux PHI/PII dans les modèles de données, les API, les journaux et les chemins d’accès. Utilisez-le pour vérifier la classification des données, le contrôle d’accès, le chiffrement, les pistes d’audit et les vecteurs de fuite courants dans le cadre d’HIPAA, de DISHA, du RGPD et d’autres besoins d’audit de sécurité connexes.

healthcare-eval-harness est un cadre d’évaluation de la sécurité des patients pour les déploiements d’applications de santé. Il aide les équipes à vérifier la précision du CDSS, l’exposition des PHI, l’intégrité des données, le comportement des flux cliniques et la conformité des intégrations avant mise en production. Les échecs critiques bloquent le déploiement, ce qui en fait un outil utile pour healthcare-eval-harness dans l’évaluation de modèles et les garde-fous de sécurité CI.

github-ops est une compétence d’opérations GitHub pour trier les issues, gérer les PR, analyser les échecs CI, préparer les releases et surveiller la santé d’un dépôt avec la CLI gh. Utilisez la compétence github-ops lorsque vous avez besoin d’un usage reproductible de github-ops sur un dépôt réel, avec authentification via gh auth login et un contexte de dépôt clairement défini.

ecc-tools-cost-audit est une compétence d’audit fondée sur des preuves pour enquêter sur les pics de coûts, les créations de PR en boucle, les contournements de quota, les fuites vers des modèles premium et les tâches en double dans ECC Tools. Utilisez-la pour des investigations en Backend Development qui suivent une requête depuis le webhook jusqu’au worker et à la décision de facturation, afin de démontrer précisément où les dépenses sont générées.

django-verification est un skill de préparation aux mises en production pour les projets backend Django. Il vous guide dans les vérifications d’environnement, le lint, le formatage, les contrôles de types, les migrations, les tests avec couverture, les analyses de sécurité et la vérification de la readiness de déploiement, afin de repérer les problèmes avant les PR ou les releases.

django-security est un guide pratique pour renforcer la sécurité des applications Django : authentification, autorisation, protection CSRF, prévention des attaques XSS et des injections SQL, cookies sécurisés et réglages de production. Il aide les développeurs et les relecteurs à mener un Security Audit ciblé, à repérer rapidement les configurations risquées et à appliquer des correctifs concrets avant le déploiement.

defi-amm-security est une checklist de sécurité ciblée pour les AMM Solidity, les pools de liquidité, les coffres LP et les flux de swap. Elle aide les auditeurs et les ingénieurs à examiner la réentrance, l’ordre CEI, les attaques par donation ou inflation, les hypothèses d’oracle, le slippage, les contrôles d’administration et l’arithmétique entière avec moins d’incertitude qu’avec un prompt générique.

code-reviewer est un skill léger de Code Review qui transforme du code ou des diffs en rapport structuré couvrant la sécurité, les performances, les bonnes pratiques, le niveau de sévérité, les lignes ou sections concernées, les correctifs recommandés et un score global de qualité.

code-reviewer est une skill de revue de code par IA qui suit un ordre d’analyse strict : sécurité, performances, exactitude et maintenabilité. Elle s’appuie sur des fichiers de règles pour la SQL injection, le XSS, les requêtes N+1, la gestion des erreurs, le nommage et les indications de type, afin de rendre les revues de PR plus cohérentes qu’avec un prompt de revue générique.

cso est une skill d’audit sécurité de type Chief Security Officer destinée aux agents. Elle aide à examiner des codebases et des workflows pour détecter les fuites de secrets, les risques liés aux dépendances et à la chaîne d’approvisionnement, la sécurité CI/CD, ainsi que la sécurité LLM/IA, en s’appuyant sur OWASP Top 10 et STRIDE. Utilisez cso pour des revues d’audit sécurité structurées, avec des seuils de confiance, une vérification active et le suivi des tendances.

attack-tree-construction aide à construire des arbres d’attaque structurés pour le Threat Modeling, avec des objectifs racines clairs, des branches AND/OR et des attaques terminales testables. Utilisez-le pour cartographier les chemins d’attaque, mettre en évidence les failles de défense et appuyer la revue de sécurité, les tests et la planification des mesures d’atténuation.

La skill sast-configuration aide à configurer Semgrep, SonarQube et CodeQL pour de vrais workflows SAST. Utilisez-la pour planifier l’installation, l’intégration CI/CD, les règles personnalisées, les quality gates et le réglage des faux positifs pour Security Audit et l’analyse adaptée à chaque dépôt.

stride-analysis-patterns aide les agents à mener une analyse de menaces STRIDE structurée sur des architectures, des API et des flux de données. Installez-la depuis le repo wshobson/agents, consultez le fichier SKILL.md, puis utilisez-la pour transformer des descriptions système en menaces catégorisées et en revues axées sur les contrôles de sécurité.

La skill threat-mitigation-mapping aide à associer les menaces identifiées à des contrôles préventifs, détectifs et correctifs sur différentes couches, afin de soutenir une défense en profondeur, la planification de remédiation et l’examen de la couverture des contrôles.