insecure-defaults

par trailofbits

La compétence insecure-defaults aide à repérer les configurations de type fail-open qui laissent le logiciel fonctionner avec des paramètres dangereux au lieu de s’arrêter. Utilisez-la pour un audit de sécurité du code de production, des configurations de déploiement et de la logique de gestion des secrets afin de détecter une authentification faible, des secrets codés en dur et des valeurs par défaut trop permissives.

Étoiles5k

Favoris0

Commentaires0

Ajouté4 mai 2026

CatégorieSecurity Audit

Commande d’installation

npx skills add trailofbits/skills --skill insecure-defaults

Score éditorial

Cette compétence obtient 84/100, ce qui en fait une bonne candidate pour l’annuaire auprès des utilisateurs qui réalisent des revues de sécurité de code et de configuration. Un agent peut facilement la repérer à partir du frontmatter, le workflow est assez concret pour distinguer les défauts insecure de type fail-open des approches fail-secure, et les exemples facilitent une décision d’installation réellement utile. Le principal bémol est que le dépôt est davantage orienté guide que mécanisme outillé : les utilisateurs doivent donc appliquer la checklist manuellement avec les outils fournis.

84/100

Points forts

Fort pouvoir de déclenchement : la description cible clairement les audits de sécurité, la revue de configuration et la gestion des variables d’environnement.
Clarté opérationnelle : elle explique bien la distinction centrale entre les schémas fail-open et fail-secure avec des exemples concrets.
Bon apport à l’installation : le fichier d’exemples fournit des modèles vulnérables et sûrs qui réduisent l’incertitude pour les agents.

Points de vigilance

Aucune commande d’installation ni ressource d’automatisation, donc l’adoption est manuelle et dépend de la rigueur de l’agent.
La compétence semble centrée sur les consignes de détection plutôt que sur un flux complet de remédiation de bout en bout.

Git Security Configuration Environment Variables Secrets Auth Docker

Vue d’ensemble

Aperçu du skill `insecure-defaults`

Ce que fait `insecure-defaults`

Le skill insecure-defaults vous aide à repérer les configurations de type fail-open, qui laissent un logiciel démarrer avec des paramètres non sûrs au lieu de s’arrêter. Il est particulièrement utile pour un Security Audit du code de production, des configurations de déploiement et de la logique de gestion des secrets, lorsque des variables d’environnement manquantes doivent être considérées comme un défaut, et non tolérées silencieusement.

Pour qui est-il fait

Utilisez le skill insecure-defaults si vous examinez du code d’authentification, de chiffrement, de clés API ou d’infrastructure, et que vous devez distinguer un comportement sûr de type fail-secure d’un comportement de repli risqué. Il convient bien aux relecteurs, aux équipes AppSec et aux agents qui vérifient si un service peut démarrer avec des identifiants faibles, des valeurs par défaut permissives ou des secrets factices.

Ce qui le différencie

Ce skill n’est pas un simple prompt générique pour « trouver des failles de sécurité ». Il se concentre sur une seule question : l’absence de configuration fait-elle échouer le système de manière sûre, ou le laisse-t-elle continuer dans un état non sécurisé ? Ce périmètre étroit rend insecure-defaults très utile pour détecter des problèmes comme des secrets par défaut, des mots de passe de repli et une gestion trop permissive des variables d’environnement, faciles à manquer dans un audit plus large.

Comment utiliser le skill `insecure-defaults`

Installer et ouvrir les bons fichiers

Pour insecure-defaults install, ajoutez le skill avec npx skills add trailofbits/skills --skill insecure-defaults. Lisez d’abord SKILL.md, puis references/examples.md pour voir les schémas signalés et ceux qui ne le sont pas. Si vous adaptez le skill à un autre repo, inspectez aussi les fichiers de configuration, de déploiement ou liés aux secrets, là où les valeurs par défaut peuvent avoir un impact.

Donner au skill une cible d’audit précise

Le meilleur insecure-defaults usage commence par une question précise, pas par une demande vague. Un bon brief nomme le service, la surface de configuration et la frontière de risque :

“Review this auth service for insecure-defaults in env var handling and secret loading.”
“Check Docker and IaC files for fallback credentials or permissive defaults.”
“Audit these startup paths to confirm missing config fails secure, not open.”

Utiliser le skill comme workflow de triage

Un insecure-defaults guide pratique consiste à repérer où la configuration est lue, vérifier si les valeurs manquantes provoquent un plantage ou un repli, puis confirmer si la valeur par défaut est sûre en production. Les exemples du repository montrent la distinction clé : env['KEY'] ou une validation explicite est généralement sûr, tandis que env.get('KEY') or 'default' constitue un problème signalable quand cette valeur influence le comportement de sécurité.

Améliorer la qualité des résultats avec un contexte ciblé

Fournissez les fichiers exacts, la stack et le contexte de déploiement que l’agent doit examiner. Par exemple, mentionnez src/auth/, config/, docker-compose.yml ou helm/ si ces chemins existent. Précisez aussi si les fixtures de test, les fichiers d’exemple ou les configurations réservées au développement doivent être exclus ; le skill considère explicitement ces éléments comme non pertinents, sauf s’ils affectent le comportement de production.

FAQ sur le skill `insecure-defaults`

`insecure-defaults` sert-il seulement pour le code applicatif ?

Non. Le skill insecure-defaults s’applique aussi aux manifests de déploiement, à l’IaC, à la configuration des conteneurs et à la logique des variables d’environnement. Si un secret ou un mot de passe manquant permet à l’application de démarrer avec une valeur faible par défaut, c’est exactement le type de problème qu’il est conçu pour détecter.

En quoi est-il différent d’un prompt standard ?

Un prompt standard produit souvent des conseils de sécurité assez larges. Le skill insecure-defaults est plus étroit et plus orienté décision : il vérifie si un paramètre manquant déclenche un échec sûr ou un repli dangereux. Cette focalisation réduit les faux positifs et rend la revue plus cohérente d’une base de code à l’autre.

Quand ne faut-il pas l’utiliser ?

N’utilisez pas insecure-defaults pour les fixtures de test, les fichiers .example ou .template, les extraits de documentation ou les scripts réservés au développement, sauf s’ils sont réellement utilisés en production. Ce n’est pas non plus le bon outil lorsque le système est censé planter si la configuration est absente ; ce comportement fail-secure est un résultat acceptable, pas une découverte.

Est-il adapté aux débutants ?

Oui, si vous savez repérer où un système lit ses secrets ou sa configuration. Le guide du skill insecure-defaults est simple à appliquer, car il repose sur une question directe : « Que se passe-t-il quand la valeur manque ? » La nuance consiste à savoir quels fichiers sont de vraies entrées d’exécution et lesquels ne sont que des espaces réservés.

Comment améliorer le skill `insecure-defaults`

Donner des preuves plus solides dans le prompt

La meilleure façon d’améliorer les résultats de insecure-defaults est d’indiquer la variable sensible exacte ou le chemin de fichier concerné. Par exemple, “Check whether SECRET_KEY, DB_PASSWORD, or JWT_SECRET has any fallback in production startup code” est bien plus utile que “find security problems.” Des entrées précises aident le skill à se concentrer sur les valeurs par défaut exploitables plutôt que sur des réglages de confort inoffensifs.

Séparer la production du hors-production

Un écueil fréquent consiste à signaler à tort des valeurs par défaut dans des fichiers locaux, de test ou d’exemple. Indiquez au skill quels répertoires sont déployés et lesquels ne le sont pas. Si un repli est volontaire en développement mais interdit en production, dites-le explicitement afin que la revue puisse vérifier si la frontière est bien appliquée.

Demander le raisonnement, pas seulement les constats

Quand vous itérez, demandez le chemin de code exact et pourquoi la valeur par défaut est dangereuse. Par exemple : “Show whether the app still starts with a missing secret, and explain the impact if that secret signs sessions or tokens.” Cela rend insecure-defaults plus utile pour un Security Audit, car chaque constat est relié à son exploitabilité.

Affiner après un premier passage

Si la première sortie est trop large, relancez avec un périmètre plus serré : un service, une classe de configuration ou un ensemble de manifests de déploiement. Si vous voulez plus de précision, demandez au skill de ne prioriser que les cas fail-open qui touchent l’authentification, la cryptographie ou le contrôle d’accès, et d’ignorer les valeurs par défaut inoffensives qui ne changent pas la posture de sécurité.

Notes et avis

Aucune note pour le moment

Partagez votre avis

Connectez-vous pour laisser une note et un commentaire sur cet outil.

0/10000

Derniers avis

Enregistrement...

Autres outils de cette catégorie

solana-vulnerability-scanner

par trailofbits

solana-vulnerability-scanner est un skill d’audit de sécurité Solana ciblé pour les programmes natifs Rust et Anchor. Il aide à examiner la logique CPI, la validation des PDA, les contrôles de signer et de propriété, ainsi que l’usurpation de sysvar afin de détecter six vulnérabilités critiques propres à Solana avant le déploiement.

Security Audit

Favoris 0GitHub 4.9k

sharp-edges

par trailofbits

La skill sharp-edges vous aide à repérer les API, configurations et interfaces où la voie la plus simple conduit à un usage non sécurisé. Utilisez-la pour examiner les flux d’authentification, les enveloppes cryptographiques, les valeurs par défaut risquées, les sémantiques null ou zéro, ainsi que les choix de conception propices aux erreurs d’utilisation. Elle convient très bien aux travaux de sharp-edges pour l’audit de sécurité lorsqu’il faut des cas concrets de pièges de conception, et non de vagues suppositions de sécurité.

Security Audit

Favoris 0GitHub 5k

security-review

par affaan-m

Utilisez la skill security-review pour passer en revue l’authentification, les entrées utilisateur, les secrets, les API, les paiements, les uploads et d’autres flux sensibles. Elle fournit un guide pratique de revue de sécurité avec des vérifications claires de type réussite/échec, des exemples de schémas à risque et une méthode ciblée pour repérer les problèmes courants avant la mise en production.

Security Audit

Favoris 0GitHub 156.3k

django-security

par affaan-m

django-security est un guide pratique pour renforcer la sécurité des applications Django : authentification, autorisation, protection CSRF, prévention des attaques XSS et des injections SQL, cookies sécurisés et réglages de production. Il aide les développeurs et les relecteurs à mener un Security Audit ciblé, à repérer rapidement les configurations risquées et à appliquer des correctifs concrets avant le déploiement.

Security Audit

Favoris 0GitHub 156.1k

ossfuzz

par trailofbits

Découvrez le skill ossfuzz pour configurer le fuzzing continu, inscrire un projet, planifier un harness et passer en revue le workflow de build. Ce guide aide les ingénieurs sécurité et les mainteneurs à évaluer la maturité du projet, repérer les blocages de compilation et préparer une trajectoire concrète, de l’arborescence source vers OSS-Fuzz ou une infrastructure de fuzzing privée.

Security Audit

Favoris 0GitHub 5k

codeql

par trailofbits

Le skill codeql vous aide à exécuter CodeQL avec moins d’angles morts lors d’un audit de sécurité. Il met l’accent sur la qualité de la base de données, le choix des suites, les extensions de données et la revue SARIF, afin de rendre l’usage de codeql plus fiable sur les langages pris en charge. Servez-vous-en pour suivre des étapes de guide codeql reproductibles lorsque vous analysez de vrais dépôts.

Security Audit

Favoris 0GitHub 5k

semgrep-rule-creator

par trailofbits

semgrep-rule-creator crée des règles Semgrep de qualité production pour les vulnérabilités de sécurité, les patterns de bugs, les détections de flux de taint et les standards de codage. Utilisez le skill semgrep-rule-creator pour les audits de sécurité lorsque vous avez besoin de règles précises, de cas de test et d’une validation solide plutôt que d’un brouillon générique.

Security Audit

Favoris 0GitHub 5k

constant-time-analysis

par trailofbits

constant-time-analysis est un skill d’audit de sécurité conçu pour repérer les risques de side-channel temporel dans le code cryptographique avant qu’ils ne deviennent des bogues exploitables. Utilisez-le pour examiner les calculs dépendants des secrets, les branches, les comparaisons et le code compilé lors de revues en C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python ou Ruby.

Security Audit

Favoris 0GitHub 5k

secure-workflow-guide

par trailofbits

secure-workflow-guide guide un workflow de sécurité Solidity en 5 étapes : triage Slither, contrôles spécifiques aux fonctionnalités, inspection visuelle, notes sur les propriétés de sécurité et revue manuelle. Conçu pour les équipes de smart contracts, les auditeurs et les builders qui veulent un guide secure-workflow-guide reproductible avant un déploiement ou une mise en production.

Security Audit

Favoris 0GitHub 4.9k

algorand-vulnerability-scanner

par trailofbits

algorand-vulnerability-scanner est une skill d’audit de sécurité pour Algorand TEAL et PyTeal. Elle aide à repérer 11 problèmes courants, notamment les attaques de rekeying, les lacunes de validation des frais, les vérifications de champs et les failles de contrôle d’accès. Utilisez la skill algorand-vulnerability-scanner pour une première revue pratique avant un audit manuel.

Security Audit

Favoris 0GitHub 4.9k

supabase-postgres-best-practices

par supabase

supabase-postgres-best-practices est un skill d’optimisation Supabase Postgres dédié au tuning des requêtes, à l’indexation, à la conception de schéma, aux performances RLS, au verrouillage et à la gestion des connexions.

Database Engineering

Favoris 0GitHub 1.7k

entra-agent-id

par microsoft

entra-agent-id est une skill d’aperçu Microsoft Entra Agent ID destinée aux équipes de développement backend qui construisent des identités d’agent IA compatibles OAuth2 avec Graph beta. Elle couvre la mise en place du blueprint, les principaux du blueprint, les identités d’agent, les autorisations, les sponsors, la fédération d’identité de charge de travail et l’authentification via sidecar. Utilisez-la pour comprendre l’installation de entra-agent-id, son usage et les contraintes de déploiement.

Backend Development

Favoris 0GitHub 0

token-integration-analyzer

par trailofbits

token-integration-analyzer est un skill d’audit de sécurité pour les implémentations et intégrations de tokens. Il vérifie la conformité ERC20/ERC721, les patterns de tokens atypiques, les privilèges du propriétaire, la rareté et la gestion des tokens non standard dans les workflows d’audit de sécurité. Utilisez le guide token-integration-analyzer pour réduire l’incertitude et évaluer les risques de compatibilité.

Security Audit

Favoris 0GitHub 4.9k

cosmos-vulnerability-scanner

par trailofbits

cosmos-vulnerability-scanner détecte les bugs critiques pour le consensus dans les modules Cosmos SDK, les contrats CosmWasm, les intégrations IBC et les stacks Cosmos EVM. Utilisez ce guide cosmos-vulnerability-scanner pour vos audits de sécurité, l’analyse des risques de blocage de chaîne, les scénarios de perte de fonds et les revues pré‑lancement.

Security Audit

Favoris 0GitHub 4.9k

ruzzy

par trailofbits

ruzzy est un skill de fuzzing Ruby guidé par la couverture, conçu pour tester du code Ruby pur ainsi que des extensions C pour Ruby. Utilisez le guide ruzzy pour configurer un environnement Linux pris en charge, vérifier le câblage des sanitizers et mettre en place des workflows de fuzzing concrets pour les tâches d’audit de sécurité.

Security Audit

Favoris 0GitHub 5k

libfuzzer

par trailofbits

libfuzzer est un fuzzeur guidé par la couverture pour les projets C/C++ compilés avec Clang. Ce skill libfuzzer vous aide à l’installer, à le comprendre et à utiliser le workflow pour créer des harnesses, lancer les sanitizers et démarrer un audit de sécurité concret avec un minimum de configuration.

Security Audit

Favoris 0GitHub 5k

insecure-defaults

Aperçu du skill insecure-defaults

Ce que fait insecure-defaults

Pour qui est-il fait

Ce qui le différencie

Comment utiliser le skill insecure-defaults

Installer et ouvrir les bons fichiers

Donner au skill une cible d’audit précise

Utiliser le skill comme workflow de triage

Améliorer la qualité des résultats avec un contexte ciblé

FAQ sur le skill insecure-defaults

insecure-defaults sert-il seulement pour le code applicatif ?

En quoi est-il différent d’un prompt standard ?

Quand ne faut-il pas l’utiliser ?

Est-il adapté aux débutants ?

Comment améliorer le skill insecure-defaults

Donner des preuves plus solides dans le prompt

Séparer la production du hors-production

Demander le raisonnement, pas seulement les constats

Affiner après un premier passage

Notes et avis

Aperçu du skill `insecure-defaults`

Ce que fait `insecure-defaults`

Comment utiliser le skill `insecure-defaults`

FAQ sur le skill `insecure-defaults`

`insecure-defaults` sert-il seulement pour le code applicatif ?

Comment améliorer le skill `insecure-defaults`