Security

La skill security-scan audite la configuration .claude/ de Claude Code à la recherche de secrets, de configurations MCP risquées, d’instructions vulnérables à l’injection, de flags de contournement dangereux et de définitions d’agent ou de hook trop faibles, à l’aide d’AgentShield. Utilisez-la pour des contrôles de sécurité reproductibles avant un commit ou une intégration.

Utilisez la skill security-review pour passer en revue l’authentification, les entrées utilisateur, les secrets, les API, les paiements, les uploads et d’autres flux sensibles. Elle fournit un guide pratique de revue de sécurité avec des vérifications claires de type réussite/échec, des exemples de schémas à risque et une méthode ciblée pour repérer les problèmes courants avant la mise en production.

security-bounty-hunter vous aide à repérer dans les dépôts des vulnérabilités susceptibles d’être récompensées, en mettant l’accent sur les failles accessibles à distance, contrôlables par l’utilisateur et susceptibles de passer le triage. Utilisez-la pour des missions de Security Audit lorsque vous cherchez des constats concrets et présentables, plutôt que du bruit lié à des problèmes purement locaux.

safety-guard aide à éviter les opérations destructrices lorsque des agents travaillent en autonomie ou sur des systèmes de production. Il ajoute un mode prudent, un mode de gel des écritures et un mode de protection pour bloquer les commandes risquées, confiner les modifications à un seul répertoire et réduire les erreurs lors des déploiements, des migrations et des travaux sensibles sur les dépôts.

postgres-patterns est une fiche pratique de référence rapide PostgreSQL pour l’optimisation des requêtes, la conception de schémas, l’indexation, la Row Level Security et le pool de connexions. Il aide les workflows d’ingénierie des bases de données à prendre des décisions plus rapides et plus fiables grâce à des bonnes pratiques concises, plutôt qu’à un prompt générique.

perl-security vous aide à auditer du code Perl pour améliorer la gestion des entrées, le mode taint, l’exécution de commandes shell, les paramètres DBI et les problèmes de sécurité web comme XSS, SQLi et CSRF. Utilisez ce skill perl-security pour les audits de sécurité, la planification des remédiations et le développement sécurisé lorsque des données contrôlées par l’utilisateur atteignent des points sensibles.

llm-trading-agent-security est un guide pratique pour sécuriser des agents de trading autonomes disposant d’une autorité sur un wallet. Il couvre l’injection de prompts, les limites de dépense, la simulation avant envoi, les coupe-circuits, l’exécution sensible au MEV et l’isolation des clés afin de réduire le risque de perte financière dans un audit de sécurité.

Le skill laravel-security est une checklist pratique de sécurité Laravel couvrant l’authentification et l’autorisation, la validation, CSRF, la mass assignment, les envois de fichiers, les secrets, le rate limiting et le déploiement sécurisé. Utilisez-le pour les audits, les revues de fonctionnalités et le renforcement de la sécurité des applications Laravel.

hipaa-compliance est le point d’entrée dédié à la HIPAA pour les sujets de confidentialité et de sécurité dans le secteur de la santé. Utilisez la skill hipaa-compliance lorsqu’une tâche concerne explicitement les PHI, les covered entities, les BAA, la posture face aux violations de données, ou la question de savoir si un workflow crée une exposition HIPAA. Il s’agit d’une fine couche de routage, conçue pour un tri rapide et des conseils de conformité.

healthcare-phi-compliance aide à examiner les applications de santé pour détecter les risques liés aux PHI/PII dans les modèles de données, les API, les journaux et les chemins d’accès. Utilisez-le pour vérifier la classification des données, le contrôle d’accès, le chiffrement, les pistes d’audit et les vecteurs de fuite courants dans le cadre d’HIPAA, de DISHA, du RGPD et d’autres besoins d’audit de sécurité connexes.

github-ops est une compétence d’opérations GitHub pour trier les issues, gérer les PR, analyser les échecs CI, préparer les releases et surveiller la santé d’un dépôt avec la CLI gh. Utilisez la compétence github-ops lorsque vous avez besoin d’un usage reproductible de github-ops sur un dépôt réel, avec authentification via gh auth login et un contexte de dépôt clairement défini.

flutter-dart-code-review est une checklist de code review Flutter et Dart, indépendante des bibliothèques, couvrant l’architecture, la qualité des widgets, la gestion d’état, les performances, l’accessibilité, la sécurité et le clean code. Utilisez-la comme guide structuré de flutter-dart-code-review pour la code review avec BLoC, Riverpod, Provider, GetX, MobX, Signals ou des approches personnalisées.

enterprise-agent-ops vous aide à piloter des systèmes d’agents de longue durée ou hébergés dans le cloud avec observabilité, contrôles de sécurité, gestion des changements et planification de reprise. Utilisez-le comme guide pratique pour l’orchestration d’agents, pas comme simple prompt ponctuel.

docker-patterns vous aide à concevoir et à relire des configurations Docker et Docker Compose pour le développement local, le réseau, les volumes, les health checks et la sécurité des conteneurs. C’est particulièrement utile comme guide docker-patterns pour le Backend Development et les stacks multi-services où la séparation dev/prod compte vraiment.

django-security est un guide pratique pour renforcer la sécurité des applications Django : authentification, autorisation, protection CSRF, prévention des attaques XSS et des injections SQL, cookies sécurisés et réglages de production. Il aide les développeurs et les relecteurs à mener un Security Audit ciblé, à repérer rapidement les configurations risquées et à appliquer des correctifs concrets avant le déploiement.

agent-payment-x402 aide les agents IA à gérer les paiements x402 avec des outils MCP, des plafonds de dépense, des listes autorisées de destinataires et des portefeuilles non dépositaires pour les API payantes et l’orchestration d’agents.

code-reviewer est un skill léger de Code Review qui transforme du code ou des diffs en rapport structuré couvrant la sécurité, les performances, les bonnes pratiques, le niveau de sévérité, les lignes ou sections concernées, les correctifs recommandés et un score global de qualité.

code-reviewer est une skill de revue de code par IA qui suit un ordre d’analyse strict : sécurité, performances, exactitude et maintenabilité. Elle s’appuie sur des fichiers de règles pour la SQL injection, le XSS, les requêtes N+1, la gestion des erreurs, le nommage et les indications de type, afin de rendre les revues de PR plus cohérentes qu’avec un prompt de revue générique.

cso est une skill d’audit sécurité de type Chief Security Officer destinée aux agents. Elle aide à examiner des codebases et des workflows pour détecter les fuites de secrets, les risques liés aux dépendances et à la chaîne d’approvisionnement, la sécurité CI/CD, ainsi que la sécurité LLM/IA, en s’appuyant sur OWASP Top 10 et STRIDE. Utilisez cso pour des revues d’audit sécurité structurées, avec des seuils de confiance, une vérification active et le suivi des tendances.

memory-safety-patterns aide les agents à appliquer RAII, la propriété, les smart pointers et le nettoyage des ressources dans des projets en C, C++ et Rust. Utilisez-le pour relire du code backend ou système, réduire les fuites et les pointeurs pendants, et orienter des refactorings plus sûrs autour des fichiers, sockets, buffers et frontières FFI.

attack-tree-construction aide à construire des arbres d’attaque structurés pour le Threat Modeling, avec des objectifs racines clairs, des branches AND/OR et des attaques terminales testables. Utilisez-le pour cartographier les chemins d’attaque, mettre en évidence les failles de défense et appuyer la revue de sécurité, les tests et la planification des mesures d’atténuation.

La skill sast-configuration aide à configurer Semgrep, SonarQube et CodeQL pour de vrais workflows SAST. Utilisez-la pour planifier l’installation, l’intégration CI/CD, les règles personnalisées, les quality gates et le réglage des faux positifs pour Security Audit et l’analyse adaptée à chaque dépôt.

security-requirement-extraction transforme les modèles de menace et le contexte métier en exigences de sécurité testables, user stories, critères d’acceptation et livrables prêts pour le backlog dans le cadre du Requirements Planning.

stride-analysis-patterns aide les agents à mener une analyse de menaces STRIDE structurée sur des architectures, des API et des flux de données. Installez-la depuis le repo wshobson/agents, consultez le fichier SKILL.md, puis utilisez-la pour transformer des descriptions système en menaces catégorisées et en revues axées sur les contrôles de sécurité.