security-and-hardening
作者 addyosmanisecurity-and-hardening 技能可在發布前協助強化應用程式程式碼。適用於使用者輸入、驗證、session、敏感資料、檔案上傳、webhook 與外部服務等情境,並搭配具體檢查項目,例如輸入驗證、參數化查詢、輸出編碼、安全 Cookie、HTTPS 與 secrets 管理。
這個技能評分為 78/100,值得收錄:它有明確的觸發條件、相當完整的工作流程內容,並提供足夠具體的安全建議,能幫助代理在強化程式碼時減少比通用提示詞更多的猜測。對目錄使用者來說,它是一個實用、可重複使用的安全檢查清單型技能,但還不是一個完整封裝、具工具支援的工作流程。
- 觸發條件明確:說明清楚對應不受信任的輸入、驗證、儲存與第三方整合情境。
- 作業指引充實:內文列出明確且必做的控制項,例如輸入驗證、參數化查詢、輸出編碼、HTTPS、安全 Cookie 與密碼雜湊。
- 對代理很有幫助:標題與分層規則(“Always Do” 與 “Ask First”)讓代理更容易一致地遵守安全邊界。
- 沒有提供安裝指令或支援檔案,因此採用時較依賴直接閱讀 SKILL.md,而不是整合進更大的工作流程。
- 摘錄中有占位符標記,且沒有附帶腳本或資源,這也限制了自動化檢查或更深入實作支援的證據。
security-and-hardening 技能概覽
security-and-hardening 技能可協助你在應用程式程式碼上線前,先針對常見漏洞做加固。它最適合開發者、審查者,以及正在處理會接受不受信任輸入、管理 session、儲存敏感資料,或呼叫外部服務的功能的 AI agent。如果你是為 Security Audit 工作而需要 security-and-hardening 技能,當你要的是實作層級的檢查,而不只是通用的安全檢查清單,這會是很合適的選擇。
這個技能是用來做什麼的
當工作目標是降低真實程式路徑中的可利用風險時,就使用 security-and-hardening:例如請求處理、驗證流程、資料庫存取、檔案上傳、webhook,以及付款或 PII 邏輯。這個技能的核心是邊界控管,因此它會聚焦在資料進入儲存層或商業邏輯之前,系統邊界上必須先完成的事。
它為什麼有用
它最大的價值是提供實際可執行的防護框架:盡早驗證輸入、對查詢做參數化、對輸出做跳脫、保護 session、強制 HTTPS,並避免在驗證或 secret 上走不安全的捷徑。這讓 security-and-hardening guide 在你想要更少猜測、更多具體防禦動作時特別有用。
什麼情況下最適合
如果你的 prompt 是要加固既有功能、審查高風險程式碼,或把一個粗略的「幫我把這個做安全」需求轉成具體修改,就很適合用這個技能。當工作流程包含後端路由、面向使用者的表單,或與第三方 API 的整合時,security-and-hardening usage 尤其相關。
如何使用 security-and-hardening 技能
安裝並檢視來源
若要進行 security-and-hardening install,請使用:
npx skills add addyosmani/agent-skills --skill security-and-hardening
先從 SKILL.md 開始,再閱讀 frontmatter 與定義何時使用此技能、以及哪些事情一定要執行的章節。這個 repository 沒有附帶 rules/、resources/ 或 scripts,因此 SKILL.md 是主要且唯一的權威來源。
提供正確的輸入給技能
security-and-hardening skill 在你提供明確的作用範圍與威脅情境時效果最好。不要只說「幫我把這個 app 做安全」,而是要說清楚暴露了什麼、牽涉哪些資料、以及有哪些 stack 限制。好的輸入會明確指出功能、信任邊界與風險:
Harden this password reset endpoint. It uses Express, PostgreSQL, and email links. Focus on input validation, token handling, rate limiting, and secure cookie/session behavior.
這比模糊的 prompt 更好,因為它提供了邊界、資料類型,以及目標結果。
採用先審查、後修改的工作流程
可靠的 security-and-hardening usage 模式是:先識別輸入,再劃出信任邊界,接著檢查儲存與輸出處理,最後驗證驗證機制與傳輸保護。要求修改時,應該依照攻擊面出現的順序來問,而不是隨意列出問題。對 Security Audit 任務來說,這能幫助技能產出的發現直接對應到程式路徑,而不是泛泛而談的建議。
留意最有影響力的限制
這個 repository 強調的是不可妥協的原則:在邊界驗證、查詢參數化、輸出編碼、使用安全 cookie,以及避免明文 secrets。使用此技能時,請明確指出可能削弱這些控制的 framework 行為,例如停用 escaping、自訂 auth middleware,或直接用字串拼接 SQL。
security-and-hardening 技能 FAQ
這只適合大型稽核嗎?
不是。security-and-hardening 也很適合會碰到敏感資料的小功能。只要單一 webhook handler 或上傳表單會接受外部輸入,或改變信任邊界,就可能值得使用這個技能。
它和一般 prompt 有什麼不同?
一般 prompt 可能只是要求「安全最佳實務」,最後得到的是泛泛建議。security-and-hardening 技能更偏向決策導向:它會把回應推向邊界驗證、防禦性預設值,以及與正在變動的程式路徑相符的具體修正。
它適合初學者嗎?
適合,只要你能清楚描述功能即可。初學者只要提供 route、資料類型和 framework,通常就能得到最大效益。這個技能接著可以把這些資訊轉成比通用安全檢查清單更可執行的加固計畫。
什麼情況下不該用?
如果是純外觀修改、低風險靜態內容,或安全性不是驗收條件的一部分,就不該用。若程式碼不處理使用者輸入、secret、session 或外部呼叫,security-and-hardening 技能大概率是不必要的。
如何改進 security-and-hardening 技能
針對攻擊面要講得更具體
輸入越精準,拿到的加固建議越好。請說明哪些地方可能被攻擊、哪些資料是敏感資料,以及邊界在哪裡。例如:「請審查這個檔案上傳流程的 path traversal、MIME spoofing 與不安全儲存」會比「讓上傳更安全」更有幫助。
要求檢查項目,不要只要口號
最有用的 security-and-hardening skill 輸出會直接點名具體控制項:參數化 SQL、輸出編碼、cookie flags、CSRF 處理、secret 管理,以及傳輸安全。如果你想得到更好的結果,請要求同時提供程式碼層級的變更,以及每個變更如何阻擋真實可行的攻擊。
先從風險到實作迭代
先從風險最高的路徑開始,再逐步細化。一個成熟的 security-and-hardening guide 工作流程是:先要求威脅審查,再要求修補版本,最後再針對 headers、驗證邊界案例與相依性風險做最後一輪檢查。這樣可以降低第一輪回覆過度聚焦低價值問題的機率。
提供會影響修正方式的 stack 細節
請提到 framework、auth library、資料庫與部署環境。不同 stack 的安全加固方式差很多,尤其是 Express、Next.js、Rails、Django 和 serverless 架構,在 session、headers 與輸入驗證上的做法尤其不同。stack 越精準,做 security-and-hardening for Security Audit 時得到的不匹配建議就越少。