constant-time-testing

par trailofbits

constant-time-testing est une compétence pratique pour auditer le code cryptographique à la recherche de fuites temporelles. Utilisez la compétence constant-time-testing pour inspecter les branches dépendantes des secrets, les schémas d’accès mémoire et le comportement microarchitectural, puis appliquez un guide constant-time-testing ciblé pour les workflows d’audit de sécurité.

Étoiles5k

Favoris0

Commentaires0

Ajouté7 mai 2026

CatégorieSecurity Audit

Commande d’installation

npx skills add trailofbits/skills --skill constant-time-testing

Score éditorial

Cette compétence obtient 76/100, ce qui en fait une candidate solide pour les utilisateurs d’un annuaire qui cherchent un accompagnement sur le test en temps constant dans du code cryptographique. Le dépôt offre suffisamment de contenu concret sur les workflows et de cadrage métier pour justifier l’installation, même si les utilisateurs devront accepter une certaine autonomie de navigation en l’absence de scripts d’accompagnement et d’automatisation à l’installation.

76/100

Points forts

Cible clairement le test en temps constant pour le code cryptographique, avec un cas d’usage et un signal de déclenchement explicites.
Un contenu SKILL.md conséquent avec 13 H2, 24 H3 et des blocs de code indique un vrai workflow plutôt qu’un simple fichier d’attente.
Aucun marqueur de brouillon ou d’expérimentation ; le document contient des références au dépôt et au fichier, ainsi que plusieurs signaux de workflow et de contraintes.

Points de vigilance

Aucune commande d’installation, aucun script ni fichier de support : les agents devront s’appuyer sur les consignes Markdown plutôt que sur une exécution automatisée.
Les métadonnées de description sont très courtes, donc il peut être nécessaire de lire le corps du contenu pour comprendre précisément l’adéquation et les limites.

Cryptography Timing Side Channels Auditing Testing Security

Vue d’ensemble

Vue d’ensemble de constant-time-testing

constant-time-testing est une compétence pratique pour auditer du code cryptographique à la recherche de fuites de timing. Utilisez la compétence constant-time-testing lorsque vous devez vérifier si des branches dépendantes des secrets, des schémas d’accès mémoire ou des comportements microarchitecturaux pourraient divulguer des clés, des nonces ou d’autres valeurs sensibles.

Qui devrait utiliser constant-time-testing

Cette compétence est particulièrement adaptée aux auditeurs sécurité, aux ingénieurs crypto et aux relecteurs de cryptographie au niveau implémentation. Elle est surtout utile lorsque vous avez déjà du code, un banc d’essai ou un chemin critique suspect, et que vous avez besoin d’un guide ciblé de constant-time-testing plutôt que d’une simple checklist de codage sécurisé.

Quel problème elle résout

Le vrai enjeu n’est pas de « comprendre les attaques de timing en théorie », mais de « déterminer si ce code se comporte différemment quand les secrets changent ». constant-time-testing vous aide à transformer cette question en un workflow de revue répétable : identifier les entrées sensibles, inspecter les chemins de code qu’elles influencent, puis concevoir des tests capables de révéler une fuite.

Ce qui la rend utile

La principale valeur, c’est la précision. Une bonne compétence constant-time-testing doit vous orienter vers :

les zones de code exactes qui comptent le plus,
les types de comparaisons et de recherches qui fuient souvent,
et les preuves dont vous avez besoin avant de conclure qu’un signalement est fondé.

Comment utiliser la compétence constant-time-testing

Installer et ouvrir les fichiers source

Pour l’installation de constant-time-testing, ajoutez la compétence depuis trailofbits/skills, puis lisez d’abord SKILL.md. Si vous l’utilisez dans un workflow agentique, examinez aussi les fichiers du dépôt voisins qui définissent le comportement ou les conventions avant de rédiger votre prompt.

Commencer avec le bon format d’entrée

La compétence fonctionne mieux si vous fournissez une cible concrète, pas une demande vague. De bons éléments d’entrée incluent :

le dépôt ou le chemin de fichier à examiner,
les valeurs secrètes ou les appels d’API qui doivent rester cachés,
le modèle de menace, par exemple un attaquant local, un observateur de timing distant ou le bruit de benchmark,
et le langage ou la plateforme, car C, Rust, l’assembleur et le code de plus haut niveau ne fuient pas de la même façon.

Un bon prompt ressemble à ceci : « Utilise constant-time-testing sur src/crypto.rs pour vérifier si verify_tag() branche selon des octets secrets. Suppose un attaquant distant et signale les points de fuite probables, les idées de tests et les faux positifs. »

Workflow de revue recommandé

Un schéma d’utilisation pratique de constant-time-testing consiste à :

Identifier les secrets et tous les chemins de code qu’ils influencent.
Rechercher les branches, retours anticipés, consultations de tables et primitives à durée variable.
Tester si le comportement change avec des entrées dépendantes des secrets.
Distinguer les vraies fuites du compilateur, de l’environnement d’exécution ou du bruit de mesure.
Rendre les conclusions avec les entrées exactes, les emplacements de code et le niveau de confiance.

Lire d’abord pour de meilleurs résultats

Commencez par SKILL.md, puis consultez les éventuels exemples de vérification constant-time, scripts de mesure ou notes de politique présents dans le dépôt. Si le dépôt contient plusieurs cibles d’implémentation, lisez d’abord celle qui se rapproche le plus de votre stack de production afin que le guide constant-time-testing reste aligné sur votre environnement.

FAQ sur la compétence constant-time-testing

constant-time-testing est-il réservé aux bibliothèques cryptographiques ?

Non. Il s’applique à tout code pour lequel un timing dépendant d’un secret peut poser problème, y compris les vérifications d’authentification, les comparaisons de clés, l’analyse de formats contenant des secrets et la logique de protocole. Le cas d’usage constant-time-testing pour l’audit sécurité est plus large que la cryptographie pure.

Faut-il un dispositif de benchmark avant de l’utiliser ?

Pas toujours. Vous pouvez commencer par une revue statique et des tests ciblés, puis ajouter des mesures de timing si le chemin de code paraît suspect. Dans beaucoup d’audits, la première passe sert surtout à réduire l’espace où une fuite pourrait exister.

En quoi est-ce différent d’un prompt classique ?

Un prompt classique demande souvent une explication générique des attaques de timing. constant-time-testing est plus actionnable : il est conçu pour guider la revue d’une base de code précise, d’un secret précis et d’un modèle de menace précis, ce qui produit généralement de meilleurs résultats d’audit.

Quand ne pas l’utiliser ?

Ne vous reposez pas sur cette compétence si vous avez besoin d’une infrastructure complète d’analyse dynamique, de vérification formelle ou d’une certification spécifique au matériel. Elle est surtout utile comme guide de revue et de test ciblé, pas comme substitut à des méthodes d’assurance plus poussées.

Comment améliorer la compétence constant-time-testing

Donner à la compétence les secrets et les invariants

Le gain de qualité le plus important vient du fait de préciser ce qui doit rester secret et ce qui ne doit pas changer. Dites au modèle quelles valeurs sont sensibles, quelles opérations sont autorisées à varier et quels chemins de code sont critiques pour la sécurité. La compétence constant-time-testing devient alors beaucoup plus précise.

Partager les emplacements de code et les schémas suspectés

Si vous soupçonnez déjà une fonction, une branche ou une table de recherche, pointez-la directement. Exemple : « Examine verify(), ct_eq() et la recherche S-box dans src/aes.c. » Cela réduit les approximations et aide la réponse à se concentrer sur les chemins de fuite les plus risqués.

Demander des preuves, pas seulement un verdict

De bons résultats incluent généralement un plan de test concret : paires d’entrées à comparer, points d’instrumentation, critères de fuite et manière d’interpréter des mesures bruitées. Demandez explicitement ces éléments pour que la réponse aille au-delà de « semble constant-time » ou « ne l’est pas ».

Itérer après le premier passage

Servez-vous du premier résultat pour resserrer le périmètre. Si une branche est signalée, demandez une vérification constant-time-testing plus ciblée sur cette fonction seule ; si tout paraît propre, demandez d’examiner les helpers adjacents, les effets du compilateur ou les comportements spécifiques à la plateforme qui pourraient encore fuir.

Notes et avis

Aucune note pour le moment

Partagez votre avis

Connectez-vous pour laisser une note et un commentaire sur cet outil.

0/10000

Derniers avis

Enregistrement...

Autres outils de cette catégorie

solana-vulnerability-scanner

par trailofbits

solana-vulnerability-scanner est un skill d’audit de sécurité Solana ciblé pour les programmes natifs Rust et Anchor. Il aide à examiner la logique CPI, la validation des PDA, les contrôles de signer et de propriété, ainsi que l’usurpation de sysvar afin de détecter six vulnérabilités critiques propres à Solana avant le déploiement.

Security Audit

Favoris 0GitHub 4.9k

sharp-edges

par trailofbits

La skill sharp-edges vous aide à repérer les API, configurations et interfaces où la voie la plus simple conduit à un usage non sécurisé. Utilisez-la pour examiner les flux d’authentification, les enveloppes cryptographiques, les valeurs par défaut risquées, les sémantiques null ou zéro, ainsi que les choix de conception propices aux erreurs d’utilisation. Elle convient très bien aux travaux de sharp-edges pour l’audit de sécurité lorsqu’il faut des cas concrets de pièges de conception, et non de vagues suppositions de sécurité.

Security Audit

Favoris 0GitHub 5k

security-review

par affaan-m

Utilisez la skill security-review pour passer en revue l’authentification, les entrées utilisateur, les secrets, les API, les paiements, les uploads et d’autres flux sensibles. Elle fournit un guide pratique de revue de sécurité avec des vérifications claires de type réussite/échec, des exemples de schémas à risque et une méthode ciblée pour repérer les problèmes courants avant la mise en production.

Security Audit

Favoris 0GitHub 156.3k

django-security

par affaan-m

django-security est un guide pratique pour renforcer la sécurité des applications Django : authentification, autorisation, protection CSRF, prévention des attaques XSS et des injections SQL, cookies sécurisés et réglages de production. Il aide les développeurs et les relecteurs à mener un Security Audit ciblé, à repérer rapidement les configurations risquées et à appliquer des correctifs concrets avant le déploiement.

Security Audit

Favoris 0GitHub 156.1k

ossfuzz

par trailofbits

Découvrez le skill ossfuzz pour configurer le fuzzing continu, inscrire un projet, planifier un harness et passer en revue le workflow de build. Ce guide aide les ingénieurs sécurité et les mainteneurs à évaluer la maturité du projet, repérer les blocages de compilation et préparer une trajectoire concrète, de l’arborescence source vers OSS-Fuzz ou une infrastructure de fuzzing privée.

Security Audit

Favoris 0GitHub 5k

codeql

par trailofbits

Le skill codeql vous aide à exécuter CodeQL avec moins d’angles morts lors d’un audit de sécurité. Il met l’accent sur la qualité de la base de données, le choix des suites, les extensions de données et la revue SARIF, afin de rendre l’usage de codeql plus fiable sur les langages pris en charge. Servez-vous-en pour suivre des étapes de guide codeql reproductibles lorsque vous analysez de vrais dépôts.

Security Audit

Favoris 0GitHub 5k

semgrep-rule-creator

par trailofbits

semgrep-rule-creator crée des règles Semgrep de qualité production pour les vulnérabilités de sécurité, les patterns de bugs, les détections de flux de taint et les standards de codage. Utilisez le skill semgrep-rule-creator pour les audits de sécurité lorsque vous avez besoin de règles précises, de cas de test et d’une validation solide plutôt que d’un brouillon générique.

Security Audit

Favoris 0GitHub 5k

insecure-defaults

par trailofbits

La compétence insecure-defaults aide à repérer les configurations de type fail-open qui laissent le logiciel fonctionner avec des paramètres dangereux au lieu de s’arrêter. Utilisez-la pour un audit de sécurité du code de production, des configurations de déploiement et de la logique de gestion des secrets afin de détecter une authentification faible, des secrets codés en dur et des valeurs par défaut trop permissives.

Security Audit

Favoris 0GitHub 5k

constant-time-analysis

par trailofbits

constant-time-analysis est un skill d’audit de sécurité conçu pour repérer les risques de side-channel temporel dans le code cryptographique avant qu’ils ne deviennent des bogues exploitables. Utilisez-le pour examiner les calculs dépendants des secrets, les branches, les comparaisons et le code compilé lors de revues en C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python ou Ruby.

Security Audit

Favoris 0GitHub 5k

secure-workflow-guide

par trailofbits

secure-workflow-guide guide un workflow de sécurité Solidity en 5 étapes : triage Slither, contrôles spécifiques aux fonctionnalités, inspection visuelle, notes sur les propriétés de sécurité et revue manuelle. Conçu pour les équipes de smart contracts, les auditeurs et les builders qui veulent un guide secure-workflow-guide reproductible avant un déploiement ou une mise en production.

Security Audit

Favoris 0GitHub 4.9k

algorand-vulnerability-scanner

par trailofbits

algorand-vulnerability-scanner est une skill d’audit de sécurité pour Algorand TEAL et PyTeal. Elle aide à repérer 11 problèmes courants, notamment les attaques de rekeying, les lacunes de validation des frais, les vérifications de champs et les failles de contrôle d’accès. Utilisez la skill algorand-vulnerability-scanner pour une première revue pratique avant un audit manuel.

Security Audit

Favoris 0GitHub 4.9k

supabase-postgres-best-practices

par supabase

supabase-postgres-best-practices est un skill d’optimisation Supabase Postgres dédié au tuning des requêtes, à l’indexation, à la conception de schéma, aux performances RLS, au verrouillage et à la gestion des connexions.

Database Engineering

Favoris 0GitHub 1.7k

entra-agent-id

par microsoft

entra-agent-id est une skill d’aperçu Microsoft Entra Agent ID destinée aux équipes de développement backend qui construisent des identités d’agent IA compatibles OAuth2 avec Graph beta. Elle couvre la mise en place du blueprint, les principaux du blueprint, les identités d’agent, les autorisations, les sponsors, la fédération d’identité de charge de travail et l’authentification via sidecar. Utilisez-la pour comprendre l’installation de entra-agent-id, son usage et les contraintes de déploiement.

Backend Development

Favoris 0GitHub 0

token-integration-analyzer

par trailofbits

token-integration-analyzer est un skill d’audit de sécurité pour les implémentations et intégrations de tokens. Il vérifie la conformité ERC20/ERC721, les patterns de tokens atypiques, les privilèges du propriétaire, la rareté et la gestion des tokens non standard dans les workflows d’audit de sécurité. Utilisez le guide token-integration-analyzer pour réduire l’incertitude et évaluer les risques de compatibilité.

Security Audit

Favoris 0GitHub 4.9k

cosmos-vulnerability-scanner

par trailofbits

cosmos-vulnerability-scanner détecte les bugs critiques pour le consensus dans les modules Cosmos SDK, les contrats CosmWasm, les intégrations IBC et les stacks Cosmos EVM. Utilisez ce guide cosmos-vulnerability-scanner pour vos audits de sécurité, l’analyse des risques de blocage de chaîne, les scénarios de perte de fonds et les revues pré‑lancement.

Security Audit

Favoris 0GitHub 4.9k

ruzzy

par trailofbits

ruzzy est un skill de fuzzing Ruby guidé par la couverture, conçu pour tester du code Ruby pur ainsi que des extensions C pour Ruby. Utilisez le guide ruzzy pour configurer un environnement Linux pris en charge, vérifier le câblage des sanitizers et mettre en place des workflows de fuzzing concrets pour les tâches d’audit de sécurité.

Security Audit

Favoris 0GitHub 5k