secure-workflow-guide

par trailofbits

secure-workflow-guide guide un workflow de sécurité Solidity en 5 étapes : triage Slither, contrôles spécifiques aux fonctionnalités, inspection visuelle, notes sur les propriétés de sécurité et revue manuelle. Conçu pour les équipes de smart contracts, les auditeurs et les builders qui veulent un guide secure-workflow-guide reproductible avant un déploiement ou une mise en production.

Étoiles4.9k

Favoris0

Commentaires0

Ajouté30 avr. 2026

CatégorieSecurity Audit

Commande d’installation

npx skills add trailofbits/skills --skill secure-workflow-guide

Score éditorial

Cette skill obtient 84/100, ce qui en fait une bonne fiche de répertoire pour les utilisateurs qui travaillent sur des workflows de sécurité de smart contracts. Le dépôt fournit des conditions de déclenchement claires, un processus concret en 5 étapes et des exemples de sortie qui aident les agents à exécuter la tâche avec moins d’approximations qu’un prompt générique. En revanche, il faut prévoir un peu de configuration manuelle, car aucun install command ni script d’aide n’est fourni.

84/100

Points forts

Déclencheur opérationnel clair : la skill indique explicitement de l’utiliser à chaque check-in, avant un déploiement ou lorsqu’une revue de sécurité est nécessaire.
Workflow très précis : elle détaille un processus de développement sécurisé en 5 étapes avec des outils nommés comme Slither, slither-check-upgradeability, slither-check-erc et slither-prop.
Bon levier pour l’agent : les étapes du workflow et l’exemple de rapport montrent quels résultats produire et comment interpréter les findings, ce qui réduit l’ambiguïté d’exécution.

Points de vigilance

Aucun install command ni script n’est fourni, donc les utilisateurs devront peut-être déduire comment intégrer la skill à leur environnement.
Les fichiers d’accompagnement se limitent à deux ressources et il n’y a pas de références, ce qui réduit la profondeur pour les cas limites d’implémentation ou de vérification.

Security Solidity Smart Contracts Slither Audit Workflows Diagrams

Vue d’ensemble

Aperçu du skill secure-workflow-guide

Le skill secure-workflow-guide vous aide à appliquer sur une base de code Solidity le workflow de développement sécurisé en 5 étapes de Trail of Bits, et pas seulement à lancer un scan ponctuel. Il est particulièrement adapté aux équipes de smart contracts, aux auditeurs et aux builders qui veulent un chemin reproductible, de « qu’est-ce qui paraît risqué ? » à « que faut-il vérifier ensuite ? », avant un déploiement ou une release.

À quoi sert ce skill

Le skill secure-workflow-guide est centré sur un triage sécurité concret : détecter les problèmes connus, identifier les vérifications spécialisées pertinentes, inspecter visuellement la structure, documenter les propriétés de sécurité et passer en revue les surfaces d’attaque manuelles. Cela le rend particulièrement utile pour un secure-workflow-guide pour Security Audit lorsque vous avez besoin d’une couverture qui va au-delà de conseils génériques donnés par prompt.

Qui devrait l’utiliser

Utilisez-le si votre repo contient des contrats Solidity, des patterns upgradables, des tokens ERC ou des intégrations qui nécessitent une revue sécurité. C’est un très bon choix lorsque vous avez déjà du code et que vous voulez un workflow pour prioriser les constats, choisir les bons contrôles de suivi et éviter d’exécuter des outils non pertinents.

Ce qui le différencie

Contrairement à un prompt générique du type « review this contract », secure-workflow-guide est construit comme un workflow. Il fournit une séquence sécurité : triage d’abord avec Slither, vérifications des fonctionnalités spéciales uniquement quand elles s’appliquent, inspection fondée sur des diagrammes, documentation des propriétés et guide de revue manuelle. Cette structure réduit l’improvisation et aide à éviter des audits superficiels qui ratent des risques propres au contrat.

Comment utiliser le skill secure-workflow-guide

Installer et lancer le skill proprement

Installez avec :

npx skills add trailofbits/skills --skill secure-workflow-guide

Puis déclenchez le skill secure-workflow-guide avec un repo concret et un objectif sécurité précis. Les meilleurs prompts nomment le type de contrat, l’architecture suspectée et la décision que vous devez prendre. Par exemple : « Run secure-workflow-guide on this UUPS staking system and focus on upgrade safety, access control, and ERC20 assumptions. »

Donner au skill les bons éléments d’entrée

L’utilisation de secure-workflow-guide fonctionne mieux si vous fournissez :

le dépôt cible ou le chemin du contrat
si le code est upgradable, proche d’un token ou fortement intégré à d’autres systèmes
votre stade actuel : avant merge, avant déploiement ou préparation d’audit
toute inquiétude connue comme l’initialisation, l’authentification ou la disposition du storage du proxy

Un mauvais prompt serait « check this project ». Un meilleur serait : « Use secure-workflow-guide on contracts/ and prioritize upgradeability, token handling, and high-severity Slither findings. »

Lire ces fichiers en premier

Commencez par SKILL.md, puis consultez resources/WORKFLOW_STEPS.md pour la séquence exacte en 5 étapes et resources/EXAMPLE_REPORT.md pour voir la forme attendue du résultat. Si vous voulez comprendre rapidement le dépôt, ces deux ressources sont plus utiles qu’un survol de tout l’arborescence.

Respecter l’ordre du workflow

Ne sautez pas directement aux vérifications spécialisées. Le guide secure-workflow-guide est conçu pour commencer par les problèmes connus, puis n’activer que les contrôles réellement nécessaires à votre base de code. Cet ordre compte, car il vous évite de perdre du temps sur des analyses inutiles et aide à faire remonter d’abord les corrections à plus forte valeur.

FAQ du skill secure-workflow-guide

secure-workflow-guide est-il réservé à Solidity ?

Il est conçu pour la revue de smart contracts Solidity. Si votre projet n’est pas une base de code de contrats EVM, le skill secure-workflow-guide sera généralement peu adapté, et un prompt de revue de code plus générique sera probablement préférable.

En quoi est-ce différent d’un prompt classique ?

Un prompt classique peut demander une revue, mais secure-workflow-guide encode un workflow sécurité : scanner, classer, inspecter, documenter et vérifier. C’est plus adapté lorsque vous voulez une préparation d’audit cohérente plutôt qu’un avis ad hoc.

Est-ce adapté aux débutants ?

Oui, si vous pouvez le pointer vers un repo et formuler votre objectif. Vous n’avez pas besoin de connaître à l’avance tous les plugins Slither. Le skill est encore plus utile lorsque vous pouvez décrire la forme du contrat, car le skill secure-workflow-guide peut alors choisir les bonnes branches du workflow.

Quand ne faut-il pas l’utiliser ?

Ne l’utilisez pas comme substitut au jugement d’un audit formel, et n’attendez pas de lui qu’il valide des systèmes hors contrat comme la logique frontend ou backend. Il est le plus efficace lorsque la question est : « Quel workflow sécurité dois-je appliquer à cette base de code Solidity ? »

Comment améliorer le skill secure-workflow-guide

Lui donner un contexte plus précis

Les gains de qualité les plus nets viennent du fait de dire au skill secure-workflow-guide ce qui compte le plus : sécurité des upgrades, comportement des tokens, autorisation, initialisation ou intégrations externes. Si la première sortie paraît trop large, resserrez la demande autour d’une seule famille de contrats ou d’une seule catégorie de risque.

Fournir des artefacts concrets, pas seulement une intention

Si possible, indiquez des contrats précis, des noms de proxy, des standards de token ou des hypothèses à vérifier. « Review the staking system » est moins solide que « Review Staking.sol and StakingProxy.sol for initialization, role gating, and storage compatibility. » Le second prompt améliore l’usage de secure-workflow-guide parce qu’il réduit l’ambiguïté sur les contrôles à prioriser.

Itérer à partir des constats, pas à partir de tout le repo

Après le premier passage, renvoyez les résultats les plus importants et demandez la décision suivante : priorisation des correctifs, triage des faux positifs ou revue manuelle plus approfondie. C’est généralement meilleur que de relancer une analyse entièrement neuve. Pour secure-workflow-guide pour Security Audit, les meilleurs résultats viennent d’un resserrement du périmètre après le premier rapport, pas d’un élargissement aveugle.

Notes et avis

Aucune note pour le moment

Partagez votre avis

Connectez-vous pour laisser une note et un commentaire sur cet outil.

0/10000

Derniers avis

Enregistrement...

Autres outils de cette catégorie

solana-vulnerability-scanner

par trailofbits

solana-vulnerability-scanner est un skill d’audit de sécurité Solana ciblé pour les programmes natifs Rust et Anchor. Il aide à examiner la logique CPI, la validation des PDA, les contrôles de signer et de propriété, ainsi que l’usurpation de sysvar afin de détecter six vulnérabilités critiques propres à Solana avant le déploiement.

Security Audit

Favoris 0GitHub 4.9k

security-review

par affaan-m

Utilisez la skill security-review pour passer en revue l’authentification, les entrées utilisateur, les secrets, les API, les paiements, les uploads et d’autres flux sensibles. Elle fournit un guide pratique de revue de sécurité avec des vérifications claires de type réussite/échec, des exemples de schémas à risque et une méthode ciblée pour repérer les problèmes courants avant la mise en production.

Security Audit

Favoris 0GitHub 156.3k

django-security

par affaan-m

django-security est un guide pratique pour renforcer la sécurité des applications Django : authentification, autorisation, protection CSRF, prévention des attaques XSS et des injections SQL, cookies sécurisés et réglages de production. Il aide les développeurs et les relecteurs à mener un Security Audit ciblé, à repérer rapidement les configurations risquées et à appliquer des correctifs concrets avant le déploiement.

Security Audit

Favoris 0GitHub 156.1k

algorand-vulnerability-scanner

par trailofbits

algorand-vulnerability-scanner est une skill d’audit de sécurité pour Algorand TEAL et PyTeal. Elle aide à repérer 11 problèmes courants, notamment les attaques de rekeying, les lacunes de validation des frais, les vérifications de champs et les failles de contrôle d’accès. Utilisez la skill algorand-vulnerability-scanner pour une première revue pratique avant un audit manuel.

Security Audit

Favoris 0GitHub 4.9k

supabase-postgres-best-practices

par supabase

supabase-postgres-best-practices est un skill d’optimisation Supabase Postgres dédié au tuning des requêtes, à l’indexation, à la conception de schéma, aux performances RLS, au verrouillage et à la gestion des connexions.

Database Engineering

Favoris 0GitHub 1.7k

token-integration-analyzer

par trailofbits

token-integration-analyzer est un skill d’audit de sécurité pour les implémentations et intégrations de tokens. Il vérifie la conformité ERC20/ERC721, les patterns de tokens atypiques, les privilèges du propriétaire, la rareté et la gestion des tokens non standard dans les workflows d’audit de sécurité. Utilisez le guide token-integration-analyzer pour réduire l’incertitude et évaluer les risques de compatibilité.

Security Audit

Favoris 0GitHub 4.9k

cosmos-vulnerability-scanner

par trailofbits

cosmos-vulnerability-scanner détecte les bugs critiques pour le consensus dans les modules Cosmos SDK, les contrats CosmWasm, les intégrations IBC et les stacks Cosmos EVM. Utilisez ce guide cosmos-vulnerability-scanner pour vos audits de sécurité, l’analyse des risques de blocage de chaîne, les scénarios de perte de fonds et les revues pré‑lancement.

Security Audit

Favoris 0GitHub 4.9k

audit-website

par squirrelscan

La skill audit-website s’appuie sur le CLI `squirrel` pour auditer des sites web et webapps selon plus de 230 règles couvrant le SEO, la technique, le contenu, les performances, la sécurité, les liens et l’état général du site, puis fournit des rapports exploitables et prêts pour les LLM.

UX Audit

Favoris 0GitHub 68

skill-comply

par affaan-m

skill-comply est une compétence de test de conformité qui vérifie, en conditions réelles, si un agent respecte une skill, une règle ou une définition d’agent. Elle génère des spécifications à partir de markdown, exécute trois niveaux de rigueur des prompts, classe les chronologies d’appels d’outils et fournit des taux de conformité avec preuves à l’appui. Utile pour skill-comply pour la conformité.

Compliance Review

Favoris 0GitHub 156.3k

security-scan

par affaan-m

La skill security-scan audite la configuration .claude/ de Claude Code à la recherche de secrets, de configurations MCP risquées, d’instructions vulnérables à l’injection, de flags de contournement dangereux et de définitions d’agent ou de hook trop faibles, à l’aide d’AgentShield. Utilisez-la pour des contrôles de sécurité reproductibles avant un commit ou une intégration.

Security Audit

Favoris 0GitHub 156.3k

perl-security

par affaan-m

perl-security vous aide à auditer du code Perl pour améliorer la gestion des entrées, le mode taint, l’exécution de commandes shell, les paramètres DBI et les problèmes de sécurité web comme XSS, SQLi et CSRF. Utilisez ce skill perl-security pour les audits de sécurité, la planification des remédiations et le développement sécurisé lorsque des données contrôlées par l’utilisateur atteignent des points sensibles.

Security Audit

Favoris 0GitHub 156.2k

laravel-security

par affaan-m

Le skill laravel-security est une checklist pratique de sécurité Laravel couvrant l’authentification et l’autorisation, la validation, CSRF, la mass assignment, les envois de fichiers, les secrets, le rate limiting et le déploiement sécurisé. Utilisez-le pour les audits, les revues de fonctionnalités et le renforcement de la sécurité des applications Laravel.

Security Audit

Favoris 0GitHub 156.2k

healthcare-eval-harness

par affaan-m

healthcare-eval-harness est un cadre d’évaluation de la sécurité des patients pour les déploiements d’applications de santé. Il aide les équipes à vérifier la précision du CDSS, l’exposition des PHI, l’intégrité des données, le comportement des flux cliniques et la conformité des intégrations avant mise en production. Les échecs critiques bloquent le déploiement, ce qui en fait un outil utile pour healthcare-eval-harness dans l’évaluation de modèles et les garde-fous de sécurité CI.

Model Evaluation

Favoris 0GitHub 156.2k

github-ops

par affaan-m

github-ops est une compétence d’opérations GitHub pour trier les issues, gérer les PR, analyser les échecs CI, préparer les releases et surveiller la santé d’un dépôt avec la CLI gh. Utilisez la compétence github-ops lorsque vous avez besoin d’un usage reproductible de github-ops sur un dépôt réel, avec authentification via gh auth login et un contexte de dépôt clairement défini.

Github

Favoris 0GitHub 156.2k

ecc-tools-cost-audit

par affaan-m

ecc-tools-cost-audit est une compétence d’audit fondée sur des preuves pour enquêter sur les pics de coûts, les créations de PR en boucle, les contournements de quota, les fuites vers des modèles premium et les tâches en double dans ECC Tools. Utilisez-la pour des investigations en Backend Development qui suivent une requête depuis le webhook jusqu’au worker et à la décision de facturation, afin de démontrer précisément où les dépenses sont générées.

Backend Development

Favoris 0GitHub 156.1k

defi-amm-security

par affaan-m

defi-amm-security est une checklist de sécurité ciblée pour les AMM Solidity, les pools de liquidité, les coffres LP et les flux de swap. Elle aide les auditeurs et les ingénieurs à examiner la réentrance, l’ordre CEI, les attaques par donation ou inflation, les hypothèses d’oracle, le slippage, les contrôles d’administration et l’arithmétique entière avec moins d’incertitude qu’avec un prompt générique.

Security Audit

Favoris 0GitHub 156.1k