secure-workflow-guide
作者 trailofbitssecure-workflow-guide 提供一套 5 步 Solidity 安全工作流:Slither 初筛、按功能的专项检查、可视化审查、安全属性记录,以及人工复核。它面向智能合约团队、审计人员和开发者,适合在部署或发布前使用一套可重复的 secure-workflow-guide 流程。
该技能评分为 84/100,说明它非常适合作为智能合约安全工作流的目录条目。仓库给出了清晰的触发条件、具体的 5 步流程和示例输出,相比通用提示词,更能帮助 agent 少走弯路地执行;不过由于没有提供安装命令或辅助脚本,用户仍需进行一些手动配置。
- 触发场景明确:技能清楚说明应在每次提交、部署前或需要安全审查时使用。
- 工作流具体:它列出了包含 Slither、slither-check-upgradeability、slither-check-erc 和 slither-prop 在内的 5 步安全开发流程。
- 对 agent 的支持度高:内含的流程步骤和示例报告展示了应输出什么、如何解读结果,能减少执行时的歧义。
- 没有提供安装命令或脚本,因此用户可能需要自行推断如何将该技能接入自己的环境。
- 支撑文件只有两个资源且没有参考资料,这会削弱在边缘场景实现或验证时的深度。
secure-workflow-guide 技能概述
secure-workflow-guide 技能帮助你在 Solidity 代码库上执行 Trail of Bits 的 5 步安全开发工作流,而不只是做一次性扫描。它特别适合智能合约团队、审计人员和开发者,适用于在部署或发布前,从“哪里看起来有风险?”一路推进到“接下来该验证什么?”的可重复流程。
这个 skill 用来做什么
secure-workflow-guide 技能聚焦实用的安全分流:发现已知问题、识别哪些专项检查适用、用图示方式检查结构、记录安全属性,并审查手工攻击面。对于需要超越通用提示建议的 secure-workflow-guide for Security Audit 场景,它尤其有用。
适合谁使用
如果你的仓库里有 Solidity 合约、可升级模式、ERC 代币,或者需要安全审查的集成逻辑,就适合用它。它很适合你已经有代码,并且希望有一套工作流来帮助你排优先级、选择合适的后续检查、避免运行无关工具的场景。
它有什么不同
和泛泛的“帮我审查这个合约”提示不同,secure-workflow-guide 是按工作流组织的。它提供了一套安全顺序:先用 Slither 做分流,只在适用时再做特殊功能检查,结合图示进行结构审视,记录属性,并给出手工复核指引。这种结构能减少猜测,也能避免那种只停留在表面、漏掉合约特定风险的浅层审计。
如何使用 secure-workflow-guide skill
安装并正确触发
使用以下命令安装:
npx skills add trailofbits/skills --skill secure-workflow-guide
然后用一个具体仓库和明确的安全目标来调用 secure-workflow-guide skill。最好的提示会写清合约类型、可疑架构,以及你需要做的决策。例如:“在这个 UUPS staking 系统上运行 secure-workflow-guide,重点关注升级安全、访问控制和 ERC20 假设。”
提供合适的输入
secure-workflow-guide 的使用效果最好是在你提供以下信息时:
- 目标仓库或合约路径
- 代码是否可升级、是否偏代币逻辑、是否集成较多
- 你当前所处阶段:pre-merge、pre-deploy 还是 audit prep
- 已知关注点,例如初始化、权限控制或 proxy 存储布局
弱提示是“检查这个项目”。更强的提示是:“对 contracts/ 使用 secure-workflow-guide,优先检查可升级性、代币处理和高严重性 Slither findings。”
先看这些文件
先读 SKILL.md,再查看 resources/WORKFLOW_STEPS.md 了解精确的 5 步流程,并参考 resources/EXAMPLE_REPORT.md 看预期输出长什么样。如果你想快速理解这个仓库,这两个资源比浏览整个目录树更有用。
按顺序使用工作流
不要一上来就跳到特殊检查。secure-workflow-guide 的设计是先从已知问题开始,再分流到代码库真正需要的检查。这个顺序很重要,因为它能避免你把时间浪费在无关分析上,也有助于先暴露最有价值的修复项。
secure-workflow-guide skill 常见问题
secure-workflow-guide 只适用于 Solidity 吗?
它是围绕 Solidity 智能合约审查设计的。如果你的项目不是 EVM 合约代码库,secure-workflow-guide skill 通常就不太合适,改用通用代码审查提示可能更好。
它和普通提示有什么区别?
普通提示可以请求审查,但 secure-workflow-guide 把安全工作流编码进去了:扫描、分类、审视、记录、验证。对于你想要一致的审计准备,而不是临时性的意见时,它会更有价值。
对新手友好吗?
可以,只要你能把它指向一个仓库并说明你的目标就行。你不需要提前掌握所有 Slither 插件。这个 skill 在你能描述合约形态时会更有帮助,因为这样 secure-workflow-guide skill 就能选择工作流中更合适的分支。
什么情况下不该用它?
不要把它当作正式审计判断的替代品,也不要指望它去验证前端或后端应用逻辑这类非合约系统。它最适合回答的问题是:“我应该在这个 Solidity 代码库上跑什么安全工作流?”
如何改进 secure-workflow-guide skill
提供更精准的上下文
最大的质量提升来自告诉 secure-workflow-guide skill 你最在意什么:升级安全、代币行为、授权、初始化,还是外部集成。如果第一次输出显得太宽泛,就把任务收窄到一个合约家族或一个风险类别。
提供具体材料,而不只是意图
如果可以,直接指出要检查的具体合约、proxy 名称、代币标准或假设。“审查 staking 系统”不如“审查 Staking.sol 和 StakingProxy.sol 的初始化、角色门控和存储兼容性”清楚。第二种提示能更好地提升 secure-workflow-guide 的使用效果,因为它减少了检查优先级上的歧义。
从 findings 继续迭代,而不是重跑整个仓库
第一次跑完后,把最重要的结果反馈回去,再要求它给出下一步决策:修复优先级、误报分流,或者更深入的手工复核。通常这比完全重新跑一遍更有效。对于用于 Security Audit 的 secure-workflow-guide,最好的输出往往来自在第一份报告之后收窄范围,而不是盲目扩大范围。