Auditing

seo-drift 是一個 GitHub 技能，用來追蹤 SEO 關鍵頁面元素隨時間的變化、比對基準版本，並在部署、CMS 編輯或版型變更後及早發現回歸問題。當你需要清楚判斷是否有任何內容或設定被破壞時，可將 seo-drift 用於 SEO 內容、技術型頁面檢查，以及實際的 seo-drift 使用情境。

constant-time-testing 是一項實用技能，適合用來審查密碼學程式碼中的時間側信道。使用 constant-time-testing 技能可檢查是否存在依秘密資料而變動的分支、記憶體存取模式與微架構行為，再搭配聚焦的 constant-time-testing Security Audit 工作流程指南進行分析。

Semgrep 的靜態分析技能，適用於程式碼庫，具備自動語言偵測、平行工作者、合併 SARIF 輸出與先規劃後核准流程。這套技能是為 Semgrep Security Audit 工作流程而設計，支援 run all 與 important only 模式，使用 `--metrics=off`，並可在可用時善用 Semgrep Pro。

codeql 技能可協助你在安全稽核中以更少的盲點來執行 CodeQL。它聚焦於資料庫品質、套件選擇、資料擴充與 SARIF 檢視，讓你能在受支援的語言中更可靠地使用 codeql。當你要分析真實 repo 時，可用它來重複執行 codeql 指南式步驟。

constant-time-analysis 是一項資安稽核技能，可在密碼學程式碼還沒變成可被利用的漏洞前，找出時間側信道風險。當你要檢查 C、C++、Go、Rust、Swift、Java、Kotlin、PHP、JavaScript、TypeScript、Python 或 Ruby 時，可用它來審視是否存在依賴秘密資料的運算、分支、比較，以及編譯後輸出。

ton-vulnerability-scanner 是一個專為以 FunC 撰寫的 TON 智慧合約設計的聚焦式稽核技能。它可協助找出把整數誤當布林值使用、偽造 Jetton 合約處理，以及在轉送 TON 時缺少 gas 檢查等問題。適合在更深入人工審查之前，先做一次快速的 Security Audit 初篩。

substrate-vulnerability-scanner 可協助稽核 Substrate 與 FRAME pallets 的重大問題，例如算術溢位、panic 導致的 DoS、錯誤的 origin 檢查、不正確的 weights，以及不安全的 unsigned extrinsics。若你要針對 runtime、pallet extrinsics 與 weight 邏輯進行 Security Audit 審查，這個 substrate-vulnerability-scanner 技能很適合使用。

guidelines-advisor 是一個基於 Trail of Bits 最佳實踐的智慧合約開發顧問。它會分析程式碼庫，產出文件、審查架構、檢查升級模式、評估實作品質、找出潛在陷阱、檢視相依套件，並評估測試狀況。使用 guidelines-advisor 指南，可取得清楚且有依據的建議。