Auditing

seo-drift 是一个 GitHub 技能，用于持续跟踪 SEO 关键页面元素、对比基线，并在部署、CMS 编辑或模板变更后及时发现回归问题。当你需要明确判断是否有内容被破坏时，可将 seo-drift 技能用于 SEO 内容、技术型页面检查，以及实际的 seo-drift 使用场景。

constant-time-testing 是一项实用技能，用于审计密码学代码中的时间侧信道。使用 constant-time-testing 技能检查依赖秘密数据的分支、内存访问模式和微架构行为，然后结合 Security Audit 工作流中的聚焦式 constant-time-testing 指南进行分析。

用于代码库静态分析的 Semgrep skill，具备自动语言检测、并行 worker、合并后的 SARIF 输出，以及先方案后审批的流程。面向 semgrep for Security Audit 工作流设计，支持 `run all` 和 `important only` 两种模式，使用 `--metrics=off`，并可在可用时利用 Semgrep Pro。

codeql 技能可帮助你在安全审计中更少遗漏地运行 CodeQL。它重点关注数据库质量、suite 选择、数据扩展和 SARIF 审查，让你在受支持的语言中更可靠地使用 codeql。适合在分析真实仓库时执行可重复的 codeql 指南步骤。

constant-time-analysis 是一项安全审计技能，用于在加密代码中的定时侧信道风险变成可利用漏洞之前将其找出来。适合在检查 C、C++、Go、Rust、Swift、Java、Kotlin、PHP、JavaScript、TypeScript、Python 或 Ruby 时，审查是否存在依赖秘密数据的运算、分支、比较以及编译后的输出。

ton-vulnerability-scanner 是一个面向 TON、专注于 FunC 编写的智能合约审计技能。它可帮助识别把整数当布尔值使用、伪造 Jetton 合约处理，以及在转发 TON 时遗漏 gas 检查等问题。适合在深入人工复核前，先做一轮快速的安全初筛。

substrate-vulnerability-scanner 可帮助审计 Substrate 和 FRAME pallets 中的关键问题，例如算术溢出、panic 型 DoS、错误的 origin 检查、不正确的 weights，以及不安全的 unsigned extrinsics。Security Audit 审查中可使用这个 substrate-vulnerability-scanner 技能，适用于 runtime、pallet extrinsics 和 weight 逻辑的检查。

guidelines-advisor 是一款基于 Trail of Bits 最佳实践的智能合约开发顾问。它会分析代码库，生成文档，审查架构，检查可升级模式，评估实现质量，识别潜在陷阱，审查依赖，并评估测试情况。使用 guidelines-advisor 指南，可以获得清晰、基于证据的建议。