laravel-security
作者 affaan-mlaravel-security 技能是一份实用的 Laravel 安全检查清单,覆盖 authn/authz、验证、CSRF、mass assignment、文件上传、密钥、速率限制和安全部署。适合用于 Laravel 应用的审计、功能评审和加固工作。
该技能得分 78/100,属于一个相当不错的目录候选:它为用户提供了足够具体的 Laravel 安全指导,值得安装使用;相比泛泛的提示词,也更能帮助 agent 以较少猜测完成工作。主要限制在于,仓库证据显示它是一个仅提供指导的技能,没有配套脚本或参考文件,因此用户应预期它更像一份范围清晰的检查清单,而不是高度自动化的工作流。
- 针对常见的 Laravel 安全任务提供了清晰的触发线索,例如认证、输入处理、文件上传、密钥管理和部署加固。
- 操作性指导明确点出了具体的 Laravel 机制,如 VerifyCsrfToken、policies、Form Requests、RateLimiter、encrypted casts 和 signed routes。
- SKILL.md 内容充实,且没有占位标记,说明它更像是可复用的真实工作流内容,而不是空壳。
- 没有提供安装命令、脚本、参考资料或资源,因此采用前需要仔细阅读 markdown 内容。
- 现有证据表明它更偏向通用最佳实践指导,而不是可直接执行的窄范围流程,这可能会限制 agent 在复杂场景下的自动化程度。
laravel-security 技能概览
laravel-security 技能能做什么
laravel-security 技能是一份实用的 Laravel 安全检查清单和工作流指南,帮助你在应用上线前加固系统。它聚焦的是实际落地点:认证与授权、验证、CSRF、mass assignment、文件上传、密钥、限流,以及安全部署。
适合谁使用
如果你正在审计现有的 Laravel 代码库、评审一个带安全风险的新功能,或者把安全要求转成具体的 Laravel 配置和 middleware,就应该使用 laravel-security 技能。它尤其适合工程师、审查者,以及在做 laravel-security for Security Audit 这类工作的 agent。
它为什么有用
它的核心价值在于帮助你做决策:告诉你什么时候该启用这个技能、哪些 Laravel 原语最关键,以及如何在不靠猜测的前提下加固常见攻击面。相比通用提示词,当你需要像 policies、Form Requests、signed routes、cookie 设置和生产环境安全配置这类 Laravel 特有控制时,它更实用。
如何使用 laravel-security 技能
在工作区中安装这个技能
进行 laravel-security install 时,先按仓库提供的安装流程把技能加入 Claude Code 或支持 skills 的环境,然后从已安装包里打开技能文件。如果你直接使用源仓库,就从 skills/laravel-security/SKILL.md 开始。
先读对的文件
先从 SKILL.md 读起,再顺着它提到的 Laravel 示例或引用继续追查。在这个仓库里没有额外的 helper 文件夹可供浏览,所以核心价值基本都集中在技能正文本身。也就是说,第一次阅读应重点关注 “When to Activate”、“How It Works” 以及安全设置相关章节。
用安全场景来提问
laravel-security usage 的效果最好时,输入的是具体目标,而不是笼统请求。例如:Audit my Laravel 11 API for auth bypass, unsafe file uploads, weak session settings, and missing rate limiting; return fixes by file and risk. 同时补充框架版本、应用类型,以及你的目标是审计、加固还是功能评审。
放进评审工作流里使用
一个高质量的 laravel-security guide 工作流通常是:先识别风险区域,再映射到 Laravel 原语,最后把配置和代码一起检查。你可以一次性要求输出 middleware、Form Request、policy、route 和 .env 建议,这样结果更可执行,不会碎片化。
laravel-security 技能 FAQ
laravel-security 只适合审计吗?
不是。它在功能开发阶段也很有用,尤其是当你要添加登录流程、上传、API endpoint 或生产部署设置时。它适合安全评审、修复规划,以及预防性设计。
什么时候它不太适合?
不要把它当成非 Laravel 技术栈、深层基础设施加固,或法律/合规解释的工具。它也不能替代完整的渗透测试;它最擅长的是代码层和应用层的 Laravel 安全决策。
它和普通提示词有什么不同?
普通提示词可能只给出泛泛建议,而 laravel-security skill 会把你引向 Laravel 特有机制,比如 VerifyCsrfToken、RateLimiter::for()、policy middleware、signed routes,以及 session/cookie 控制。这会让结果更容易直接落到 Laravel 仓库里。
它适合新手吗?
适合,只要你能描述应用和风险区域。新手最容易获得价值的方式,是要求一份优先级清晰的检查清单,并提供一小段代码或配置,例如 auth routes、上传处理器,或者 config/session.php。
如何改进 laravel-security 技能
先把安全背景交代清楚
最好的结果来自明确说明你需要哪类安全工作:审计、加固、事件响应,还是功能评审。补充 Laravel 版本、认证系统、部署目标,以及 Sanctum、API、多租户访问或文件上传等限制条件。
要具体检查项,不要泛泛建议
当你提出明确的失败模式时,这个技能会表现得更好:缺少授权、session 设置薄弱、不安全的 mass assignment、不安全的上传处理,或者缺少限流。更好的提示词是:Review this controller and request class for authz gaps, validation bypasses, and unsafe file handling; suggest exact Laravel changes.
从发现迭代到修复
第一次输出后,把最高风险的发现反馈回去,再要求一次更聚焦的复审。例如,只让它检查 “session and cookie hardening”,或者只看 “route authorization and signed URL coverage”。这样能减少噪音,产出更精准的 laravel-security 建议。
用应用的真实配置来核对
最常见的失败方式,是只给技能代码,却没有提供 .env、middleware、route 或部署上下文。把相关配置文件和控制访问的路径一起共享出来,才能让建议贴近真实情况,而不是基于假设。