constant-time-analysis

par trailofbits

constant-time-analysis est un skill d’audit de sécurité conçu pour repérer les risques de side-channel temporel dans le code cryptographique avant qu’ils ne deviennent des bogues exploitables. Utilisez-le pour examiner les calculs dépendants des secrets, les branches, les comparaisons et le code compilé lors de revues en C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python ou Ruby.

Étoiles5k

Favoris0

Commentaires0

Ajouté4 mai 2026

CatégorieSecurity Audit

Commande d’installation

npx skills add trailofbits/skills --skill constant-time-analysis

Score éditorial

Ce skill obtient 84/100, ce qui en fait une bonne candidate pour les utilisateurs du répertoire qui ont besoin d’une analyse ciblée du code crypto en temps constant. Le dépôt fournit suffisamment d’indications concrètes sur les déclencheurs, la couverture linguistique et le flux d’analyse pour qu’un agent puisse l’utiliser avec moins d’hypothèses qu’avec une consigne générique, même si certaines voies spécifiques à certains langages restent un peu plus complexes à mettre en place.

84/100

Points forts

Indications explicites sur les risques temporels en cryptographie, notamment les branches dépendantes des secrets et les opérations de division/modulo sur des secrets.
Bon niveau de détail opérationnel : guides de référence par langage, commandes concrètes pour l’analyse et sortie JSON adaptée à l’intégration CI.
Très utile pour des agents sur plusieurs écosystèmes, avec une couverture des langages compilés ainsi que l’analyse de bytecode pour PHP, JavaScript/TypeScript, Python et Ruby.

Points de vigilance

Aucune commande d’installation dans `SKILL.md`, donc les utilisateurs devront peut-être déduire ou gérer la configuration en dehors du skill lui-même.
Certains workflows dépendent d’outils ou d’extensions externes comme Node.js, VLD ou des compilateurs, ce qui peut compliquer l’adoption.

Security Auditing Cryptography JavaScript Python Rust Go Php

Vue d’ensemble

Aperçu du skill constant-time-analysis

constant-time-analysis est un skill d’audit de sécurité conçu pour repérer les risques de canaux auxiliaires temporels dans du code crypto avant qu’ils ne deviennent des bugs exploitables. Il est particulièrement adapté aux ingénieurs, reviewers et agents IA qui doivent vérifier si des calculs dépendants de secrets, des branches, des comparaisons ou des instructions à l’exécution peuvent fuiter des clés, des jetons ou d’autres valeurs sensibles.

L’objectif principal n’est pas de « comprendre la théorie cryptographique », mais de « repérer à quel endroit ce code cesse d’être constant-time ». Le skill constant-time-analysis est donc surtout utile pendant les revues d’implémentation, les contrôles de sécurité avant fusion et les phases de triage d’incident, quand il faut déterminer si une fonction est sûre face aux attaques par temporisation.

Ce qui le distingue d’un prompt générique, c’est qu’il s’appuie sur les artefacts compilés et sur des chemins d’analyse propres à chaque langage, pas seulement sur l’inspection du code source. C’est important, car les problèmes de constant-time apparaissent souvent dans l’assembly, le bytecode ou les instructions de machine virtuelle, même quand le source semble inoffensif.

Quand le skill constant-time-analysis est le plus adapté pour un audit de sécurité

Utilisez ce skill lorsque vous examinez du code qui :

gère des secrets, de l’authentification ou des primitives cryptographiques
utilise des divisions, des modulo, des comparaisons ou des branchements sur des valeurs dérivées d’un secret
doit être validé sur des artefacts compilés, et pas seulement selon l’intention du source
cible C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python ou Ruby

Ce qu’il détecte et ce qu’il manque

constant-time-analysis est performant pour les schémas de fuite temporelle comme les divisions à durée variable, les branches dépendantes d’un secret et les comparaisons non sûres. En revanche, il est moins adapté aux erreurs plus larges de conception cryptographique, aux défauts de protocole ou aux fuites dues au réseau, au cache ou au bruit environnemental, sauf si ces problèmes apparaissent dans le chemin de code analysé.

Pourquoi les utilisateurs l’installent

Installez ce skill si vous voulez un workflow de revue répétable, capable de signaler un risque temporel plus tôt qu’un simple survol manuel. Si vous avez seulement besoin d’un avis ponctuel sur un extrait de code, un prompt classique peut suffire ; si vous cherchez une revue de sécurité cohérente et réutilisable, le skill apporte une vraie structure.

Comment utiliser le skill constant-time-analysis

Installez-le et déclenchez-le correctement

Passez par le chemin d’installation constant-time-analysis de votre gestionnaire de skills, puis lancez-le dans un contexte qui inclut le langage cible et la fonction ou le fichier sensible. Un bon prompt de déclenchement mentionne l’objectif crypto, les entrées secrètes et le langage/runtime, afin que le skill choisisse le bon chemin d’analyse.

Exemple de déclenchement :

“Review src/sign.rs for constant-time risk. Secret input is the private key scalar; focus on division, branches, and comparisons.”
“Run constant-time-analysis on this PHP password-checking function and tell me whether any opcode-level timing leak is likely.”

Donnez-lui la bonne forme d’entrée

Le skill fonctionne mieux si vous fournissez :

le fichier ou la fonction à inspecter
quelles valeurs sont secrètes
quel comportement observable par un attaquant compte
la version du langage et du runtime cible, si vous la connaissez

Meilleure entrée :

“Audit verifyToken() in TypeScript. Token bytes are secret; compare against stored HMAC; check for Div, Mod, and early-exit comparisons.”
“Analyze this Rust reduce() routine for secret-dependent division across x86_64 and arm64.”

Commencez par ces fichiers

Pour les décisions d’installation et le workflow, commencez par :

SKILL.md pour les déclencheurs, le périmètre et la sélection du langage
README.md pour les langages pris en charge et les objectifs de sortie
references/compiled.md pour C/C++, Go et Rust
references/javascript.md, references/python.md, references/php.md, references/ruby.md, references/swift.md, references/kotlin.md pour les règles spécifiques aux VM

Si vous ne parcourez qu’un seul fichier de référence, choisissez celui qui correspond à votre chemin d’exécution plutôt qu’à l’étiquette du langage source.

Utilisez un workflow de revue, pas une passe unique

Un usage pratique du skill constant-time-analysis suit ce flux :

identifier la fonction qui manipule le secret
lancer le guide du langage approprié
inspecter les divisions, modulo, comparaisons, branches ou appels d’aide suspects
relancer après un refactoring ou un changement de compilateur/runtime
demander une sortie compatible CI si vous voulez une vérification automatisable

C’est important, car une correction dans le source peut malgré tout être compilée en instructions non sûres, surtout dans les langages compilés.

FAQ sur le skill constant-time-analysis

Le skill constant-time-analysis est-il réservé à la cryptographie ?

Non. Il sert pour tout code où les différences de temps d’exécution sur des données secrètes comptent, mais cela concerne le plus souvent la crypto, l’authentification, la gestion de clés et la vérification de jetons. Si le code ne traite que des données publiques, ce skill est probablement inutile.

Faut-il connaître l’assembly ou le bytecode ?

Pas pour commencer. Le skill est justement utile parce qu’il vous oriente vers le bon artefact d’exécution et la bonne référence propre au langage. Vous n’avez pas besoin de lire chaque instruction, mais vous devez savoir quelle fonction ou quel fichier est sensible du point de vue sécurité.

Le skill constant-time-analysis est-il meilleur qu’un prompt normal ?

Oui, lorsque vous avez besoin d’un comportement de revue de sécurité répétable. Un prompt classique peut repérer les risques évidents, mais constant-time-analysis est plus utile pour le travail sur dépôt parce qu’il s’organise autour du choix du langage, des artefacts compilés et de schémas de fuite concrets.

Quand ne faut-il pas l’utiliser ?

Ne l’utilisez pas pour la logique métier ordinaire, l’interface utilisateur ou les transformations sur des données publiques. Évitez-le aussi lorsque la bibliothèque garantit déjà un comportement constant-time et que vous ne posez qu’une question d’usage d’API de haut niveau sans logique personnalisée dépendante de secrets.

Comment améliorer le skill constant-time-analysis

Concentrez-vous sur le secret et le modèle d’attaquant

Les meilleurs résultats de constant-time-analysis viennent d’une description précise de ce qui doit rester secret et de ce que l’attaquant peut observer. Indiquez si le risque concerne une temporisation à distance, une temporisation locale du processus ou une inspection du code compilé. Sans cela, le skill peut surinterpréter des branches sans danger ou manquer la vraie contrainte.

Fournissez le plus petit chemin de code à risque

Donnez la fonction qui touche réellement les données secrètes, pas tout le dépôt. Si le chemin inclut des helpers, ne les incluez que s’ils influencent les branches, l’arithmétique ou les comparaisons. Cela réduit le bruit et rend le résultat plus exploitable.

Demandez des preuves propres au langage

Pour de meilleurs résultats, demandez au skill de vérifier l’artefact d’exécution pertinent :

assembly pour C/C++, Go, Rust
bytecode pour JavaScript, TypeScript, Python, Ruby, PHP
comportement JVM pour Kotlin

Cela améliore l’usage de constant-time-analysis, parce que les fuites temporelles apparaissent souvent sous le niveau du source.

Relancez après chaque correction

Une erreur fréquente consiste à corriger le source puis à supposer que la fuite a disparu. Re-testez après un changement d’algorithme, de flags du compilateur, de niveau d’optimisation ou de version du runtime. Pour constant-time-analysis pour un audit de sécurité, ce second passage est souvent celui qui permet de confirmer la posture de sécurité réelle.

Notes et avis

Aucune note pour le moment

Partagez votre avis

Connectez-vous pour laisser une note et un commentaire sur cet outil.

0/10000

Derniers avis

Enregistrement...

Autres outils de cette catégorie

solana-vulnerability-scanner

par trailofbits

solana-vulnerability-scanner est un skill d’audit de sécurité Solana ciblé pour les programmes natifs Rust et Anchor. Il aide à examiner la logique CPI, la validation des PDA, les contrôles de signer et de propriété, ainsi que l’usurpation de sysvar afin de détecter six vulnérabilités critiques propres à Solana avant le déploiement.

Security Audit

Favoris 0GitHub 4.9k

sharp-edges

par trailofbits

La skill sharp-edges vous aide à repérer les API, configurations et interfaces où la voie la plus simple conduit à un usage non sécurisé. Utilisez-la pour examiner les flux d’authentification, les enveloppes cryptographiques, les valeurs par défaut risquées, les sémantiques null ou zéro, ainsi que les choix de conception propices aux erreurs d’utilisation. Elle convient très bien aux travaux de sharp-edges pour l’audit de sécurité lorsqu’il faut des cas concrets de pièges de conception, et non de vagues suppositions de sécurité.

Security Audit

Favoris 0GitHub 5k

security-review

par affaan-m

Utilisez la skill security-review pour passer en revue l’authentification, les entrées utilisateur, les secrets, les API, les paiements, les uploads et d’autres flux sensibles. Elle fournit un guide pratique de revue de sécurité avec des vérifications claires de type réussite/échec, des exemples de schémas à risque et une méthode ciblée pour repérer les problèmes courants avant la mise en production.

Security Audit

Favoris 0GitHub 156.3k

django-security

par affaan-m

django-security est un guide pratique pour renforcer la sécurité des applications Django : authentification, autorisation, protection CSRF, prévention des attaques XSS et des injections SQL, cookies sécurisés et réglages de production. Il aide les développeurs et les relecteurs à mener un Security Audit ciblé, à repérer rapidement les configurations risquées et à appliquer des correctifs concrets avant le déploiement.

Security Audit

Favoris 0GitHub 156.1k

ossfuzz

par trailofbits

Découvrez le skill ossfuzz pour configurer le fuzzing continu, inscrire un projet, planifier un harness et passer en revue le workflow de build. Ce guide aide les ingénieurs sécurité et les mainteneurs à évaluer la maturité du projet, repérer les blocages de compilation et préparer une trajectoire concrète, de l’arborescence source vers OSS-Fuzz ou une infrastructure de fuzzing privée.

Security Audit

Favoris 0GitHub 5k

codeql

par trailofbits

Le skill codeql vous aide à exécuter CodeQL avec moins d’angles morts lors d’un audit de sécurité. Il met l’accent sur la qualité de la base de données, le choix des suites, les extensions de données et la revue SARIF, afin de rendre l’usage de codeql plus fiable sur les langages pris en charge. Servez-vous-en pour suivre des étapes de guide codeql reproductibles lorsque vous analysez de vrais dépôts.

Security Audit

Favoris 0GitHub 5k

semgrep-rule-creator

par trailofbits

semgrep-rule-creator crée des règles Semgrep de qualité production pour les vulnérabilités de sécurité, les patterns de bugs, les détections de flux de taint et les standards de codage. Utilisez le skill semgrep-rule-creator pour les audits de sécurité lorsque vous avez besoin de règles précises, de cas de test et d’une validation solide plutôt que d’un brouillon générique.

Security Audit

Favoris 0GitHub 5k

insecure-defaults

par trailofbits

La compétence insecure-defaults aide à repérer les configurations de type fail-open qui laissent le logiciel fonctionner avec des paramètres dangereux au lieu de s’arrêter. Utilisez-la pour un audit de sécurité du code de production, des configurations de déploiement et de la logique de gestion des secrets afin de détecter une authentification faible, des secrets codés en dur et des valeurs par défaut trop permissives.

Security Audit

Favoris 0GitHub 5k

secure-workflow-guide

par trailofbits

secure-workflow-guide guide un workflow de sécurité Solidity en 5 étapes : triage Slither, contrôles spécifiques aux fonctionnalités, inspection visuelle, notes sur les propriétés de sécurité et revue manuelle. Conçu pour les équipes de smart contracts, les auditeurs et les builders qui veulent un guide secure-workflow-guide reproductible avant un déploiement ou une mise en production.

Security Audit

Favoris 0GitHub 4.9k

algorand-vulnerability-scanner

par trailofbits

algorand-vulnerability-scanner est une skill d’audit de sécurité pour Algorand TEAL et PyTeal. Elle aide à repérer 11 problèmes courants, notamment les attaques de rekeying, les lacunes de validation des frais, les vérifications de champs et les failles de contrôle d’accès. Utilisez la skill algorand-vulnerability-scanner pour une première revue pratique avant un audit manuel.

Security Audit

Favoris 0GitHub 4.9k

supabase-postgres-best-practices

par supabase

supabase-postgres-best-practices est un skill d’optimisation Supabase Postgres dédié au tuning des requêtes, à l’indexation, à la conception de schéma, aux performances RLS, au verrouillage et à la gestion des connexions.

Database Engineering

Favoris 0GitHub 1.7k

entra-agent-id

par microsoft

entra-agent-id est une skill d’aperçu Microsoft Entra Agent ID destinée aux équipes de développement backend qui construisent des identités d’agent IA compatibles OAuth2 avec Graph beta. Elle couvre la mise en place du blueprint, les principaux du blueprint, les identités d’agent, les autorisations, les sponsors, la fédération d’identité de charge de travail et l’authentification via sidecar. Utilisez-la pour comprendre l’installation de entra-agent-id, son usage et les contraintes de déploiement.

Backend Development

Favoris 0GitHub 0

token-integration-analyzer

par trailofbits

token-integration-analyzer est un skill d’audit de sécurité pour les implémentations et intégrations de tokens. Il vérifie la conformité ERC20/ERC721, les patterns de tokens atypiques, les privilèges du propriétaire, la rareté et la gestion des tokens non standard dans les workflows d’audit de sécurité. Utilisez le guide token-integration-analyzer pour réduire l’incertitude et évaluer les risques de compatibilité.

Security Audit

Favoris 0GitHub 4.9k

cosmos-vulnerability-scanner

par trailofbits

cosmos-vulnerability-scanner détecte les bugs critiques pour le consensus dans les modules Cosmos SDK, les contrats CosmWasm, les intégrations IBC et les stacks Cosmos EVM. Utilisez ce guide cosmos-vulnerability-scanner pour vos audits de sécurité, l’analyse des risques de blocage de chaîne, les scénarios de perte de fonds et les revues pré‑lancement.

Security Audit

Favoris 0GitHub 4.9k

ruzzy

par trailofbits

ruzzy est un skill de fuzzing Ruby guidé par la couverture, conçu pour tester du code Ruby pur ainsi que des extensions C pour Ruby. Utilisez le guide ruzzy pour configurer un environnement Linux pris en charge, vérifier le câblage des sanitizers et mettre en place des workflows de fuzzing concrets pour les tâches d’audit de sécurité.

Security Audit

Favoris 0GitHub 5k

libfuzzer

par trailofbits

libfuzzer est un fuzzeur guidé par la couverture pour les projets C/C++ compilés avec Clang. Ce skill libfuzzer vous aide à l’installer, à le comprendre et à utiliser le workflow pour créer des harnesses, lancer les sanitizers et démarrer un audit de sécurité concret avec un minimum de configuration.

Security Audit

Favoris 0GitHub 5k