密钥

insecure-defaults 技能可協助找出 fail-open 的設定模式，也就是軟體在不安全的設定下繼續執行，而不是直接停止。適合用於正式環境程式碼、部署組態與機密處理邏輯的安全稽核，幫你揪出弱式驗證、硬編碼機密與過度寬鬆的預設值。

azure-keyvault-secrets-rust 是一個用於 Azure Key Vault Secrets 的 Rust 技能。內容涵蓋使用官方 `azure_security_keyvault_secrets` crate 來儲存、讀取、更新、刪除與列出密鑰中繼資料，並包含驗證、`AZURE_KEYVAULT_URL` 設定，以及面向後端開發的實務指引。

azure-keyvault-py 是一個用於 Azure Key Vault 的 Python 技能，適用於 secrets、keys 與 certificates。它能幫助後端開發團隊選對 client、安裝正確套件、設定 Azure 認證與環境變數，並依照實用的 azure-keyvault-py 指南，在執行階段安全存取資源。

azure-security-keyvault-secrets-java 是一個適用於後端開發的 Java Azure Key Vault Secrets 技能。可用來安裝相依項、設定驗證，並產生程式碼，以便在 Azure 支援的服務中儲存、讀取、更新、刪除與復原 secrets。

credentials 技能可協助從像 Access.txt 這類集中式存取檔中，定位、辨識並標準化 API 金鑰與環境變數。當密鑰集中存放、需要清楚對應 env var 時，可用於 credentials 安裝、credentials 使用與工作流程設定。

varlock 是一套適用於 Claude Code 工作流程的安全環境變數管理技能。它能幫助你處理 secrets、API keys、credentials 與 .env 檔案，同時避免值在終端機、logs、diffs 或模型上下文中外洩。當你需要安全驗證、遮罩處理，以及受控存取的工作流程時，就適合使用 varlock。

用於稽核 GitHub Actions 與 CI/CD 設定的 detecting-supply-chain-attacks-in-ci-cd 技能。它可協助找出未鎖定版本的 actions、腳本注入、相依性混淆、機密外洩，以及 Security Audit 工作流程中高風險權限。適合用來檢視 repo、workflow 檔案或可疑的 pipeline 變更，並提供清楚的發現與修正建議。

security 技能涵蓋 OWASP 模式、機密管理與安全測試。可用來檢視驗證、使用者輸入、API keys、環境變數與 repo 衛生，特別適合 Security Audit 工作。

azure-keyvault-secrets-ts 協助後端開發者使用 TypeScript 搭配 @azure/keyvault-secrets 與 @azure/identity 管理 Azure Key Vault secrets。可用來安裝、設定驗證，並在 Node.js 服務中安全地儲存、讀取、更新、刪除、列出或還原 secrets。