Auditing

seo-drift là một skill trên GitHub để theo dõi các thành phần trang ảnh hưởng mạnh đến SEO theo thời gian, so sánh với mốc chuẩn và phát hiện lỗi hồi quy sau khi deploy, chỉnh sửa CMS hoặc thay đổi template. Hãy dùng seo-drift cho nội dung SEO, kiểm tra on-page kỹ thuật và các tình huống cần một câu trả lời rõ ràng về việc có gì đó đã hỏng hay chưa.

constant-time-testing là một skill thực tế để đánh giá mã mật mã về rò rỉ qua kênh thời gian. Hãy dùng skill constant-time-testing để kiểm tra các nhánh phụ thuộc bí mật, mẫu truy cập bộ nhớ và hành vi vi kiến trúc, rồi áp dụng hướng dẫn constant-time-testing tập trung cho quy trình Security Audit.

Skill Semgrep cho phân tích tĩnh trên codebase, với tự động nhận diện ngôn ngữ, worker chạy song song, gộp đầu ra SARIF và phê duyệt trước khi lập kế hoạch. Được xây dựng cho quy trình Semgrep for Security Audit, skill này hỗ trợ chế độ run all và important only, dùng `--metrics=off`, và có thể tận dụng Semgrep Pro khi khả dụng.

Skill codeql giúp bạn chạy CodeQL với ít điểm mù hơn trong quá trình kiểm toán bảo mật. Nó tập trung vào chất lượng cơ sở dữ liệu, lựa chọn bộ suite, data extensions và rà soát SARIF để bạn có thể dùng codeql một cách đáng tin cậy hơn trên các ngôn ngữ được hỗ trợ. Hãy dùng nó cho các bước hướng dẫn codeql lặp lại khi phân tích kho mã nguồn thực tế.

constant-time-analysis là một kỹ năng kiểm toán bảo mật để phát hiện rủi ro kênh kề thời gian trong mã mật mã trước khi chúng biến thành lỗi có thể khai thác. Hãy dùng nó để rà soát các phép toán phụ thuộc bí mật, nhánh rẽ, phép so sánh và đầu ra sau biên dịch khi kiểm tra C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python hoặc Ruby.

ton-vulnerability-scanner là một skill kiểm toán tập trung cho smart contract TON viết bằng FunC. Skill này giúp phát hiện việc lạm dụng integer-as-boolean, xử lý giả mạo hợp đồng Jetton, và thiếu kiểm tra gas khi chuyển tiếp TON. Hãy dùng nó như một bước Security Audit nhanh ban đầu trước khi rà soát thủ công sâu hơn.

substrate-vulnerability-scanner giúp kiểm tra Substrate và các pallet FRAME để phát hiện những vấn đề nghiêm trọng như tràn số học, DoS do panic, kiểm tra origin sai, weight không chính xác và extrinsic không an toàn ở dạng unsigned. Dùng skill substrate-vulnerability-scanner này cho các lượt Security Audit khi rà soát runtime, extrinsic của pallet và logic weight.

guidelines-advisor là một trợ lý phát triển smart contract dựa trên best practices của Trail of Bits. Nó phân tích codebase để tạo tài liệu, rà soát kiến trúc, kiểm tra các mẫu upgradeability, đánh giá chất lượng triển khai, phát hiện rủi ro tiềm ẩn, xem xét dependencies và đánh giá testing. Hãy dùng hướng dẫn guidelines-advisor để nhận các khuyến nghị rõ ràng, có căn cứ từ bằng chứng.