MCP HubMCP Hub
Retour aux compétences

security-audit-codebase

pjt222
Mis à jour 2 days ago
2 vues
17
2
17
Voir sur GitHub
Développementapi

À propos

Cette compétence effectue des audits de sécurité automatisés des bases de code pour détecter les secrets exposés, les dépendances vulnérables, les vulnérabilités par injection et les configurations non sécurisées. Elle est conçue pour être utilisée avant la publication ou le déploiement, lors des revues périodiques et lors de la préparation des audits de conformité. L'outil prend en charge l'analyse ciblée de zones spécifiques, comme l'authentification ou les dépendances, selon les besoins.

Installation rapide

Claude Code

Recommandé
Principal
npx skills add pjt222/agent-almanac -a claude-code
Commande PluginAlternatif
/plugin add https://github.com/pjt222/agent-almanac
Git CloneAlternatif
git clone https://github.com/pjt222/agent-almanac.git ~/.claude/skills/security-audit-codebase

Copiez et collez cette commande dans Claude Code pour installer cette compétence

Documentation

Security Audit Codebase

Systematic security review → ID vulns + exposed secrets.

Use When

  • Pre-publish|deploy
  • Periodic review
  • Post-auth|API integ|input handling
  • Pre-OSS private repo
  • Prep compliance audit

In

  • Required: Codebase
  • Optional: Focus area (secrets|deps|injection|auth)
  • Optional: Compliance frame (OWASP|ISO 27001|SOC 2)
  • Optional: Prev findings for compare

Do

Step 1: Scan Exposed Secrets

# API keys and tokens
grep -rn "sk-\|ghp_\|gho_\|github_pat_\|hf_\|AKIA" --include="*.{md,js,ts,py,R,json,yml,yaml}" .

# Generic secret patterns
grep -rn "password\s*=\s*['\"]" --include="*.{js,ts,py,R,json}" .
grep -rn "api[_-]key\s*[=:]\s*['\"]" --include="*.{js,ts,py,R,json}" .
grep -rn "secret\s*[=:]\s*['\"]" --include="*.{js,ts,py,R,json}" .

# Connection strings
grep -rn "postgresql://\|mysql://\|mongodb://" .

# Private keys
grep -rn "BEGIN.*PRIVATE KEY" .

→ No real secrets — only placeholders (YOUR_TOKEN_HERE, [email protected]).

If err: real secret found → remove + rotate cred + clean git history (git filter-branch|git-filter-repo). Treat exposed = compromised.

Step 2: .gitignore Coverage

# Check that these are git-ignored
git check-ignore .env .Renviron credentials.json node_modules/

# Look for tracked sensitive files
git ls-files | grep -i "\.env\|\.renviron\|credentials\|secret"

→ Sensitive (.env, .Renviron, credentials.json) in .gitignore, git ls-files returns no tracked sensitive.

If err: tracked → git rm --cached <file>, add .gitignore, commit. File stays disk but no longer versioned.

Step 3: Audit Deps

Node.js:

npm audit
npx audit-ci --moderate

Python:

pip-audit
safety check

R:

# Check for known vulnerabilities in packages
# No built-in tool, but verify package sources
renv::status()

→ No high|critical vulns. Mod+low documented.

If err: critical → update via npm audit fix|pip install --upgrade. Breaking changes → document + remediation plan.

Step 4: Injection Vulns

SQL Injection:

# Look for string concatenation in queries
grep -rn "paste.*SELECT\|paste.*INSERT\|paste.*UPDATE\|paste.*DELETE" --include="*.R" .
grep -rn "query.*\+.*\|query.*\$\{" --include="*.{js,ts}" .

All queries → parameterized, not string concat.

Command Injection:

# Look for shell execution with user input
grep -rn "system\(.*paste\|exec(\|spawn(" --include="*.{R,js,ts,py}" .

XSS:

# Look for unescaped user content in HTML
grep -rn "innerHTML\|dangerouslySetInnerHTML\|v-html" --include="*.{js,ts,jsx,tsx,vue}" .

→ No SQL|command|XSS vectors. Queries parameterized, shell avoids user input, HTML escaped.

If err: vulns found → replace string concat → parameterized, sanitize|escape user input pre-shell, framework-safe rendering not innerHTML|dangerouslySetInnerHTML.

Step 5: Auth + AuthZ Review

Checklist:

  • Pwds hashed bcrypt|argon2 (not MD5|SHA1)
  • Session tokens random + long
  • Auth tokens have expiration
  • API endpoints check authz
  • CORS restrictive
  • CSRF protection for state-changing ops

→ All pass: pwds strong hash, tokens random+expire, endpoints enforce authz, CORS restrictive, CSRF active.

If err: prioritize by severity — weak hash + missing authz = critical; CORS+CSRF = high. Document w/ severity.

Step 6: Config Security

# Debug mode in production configs
grep -rn "debug\s*[=:]\s*[Tt]rue\|DEBUG\s*=\s*1" --include="*.{json,yml,yaml,toml,cfg}" .

# Permissive CORS
grep -rn "Access-Control-Allow-Origin.*\*\|cors.*origin.*\*" --include="*.{js,ts}" .

# HTTP instead of HTTPS
grep -rn "http://" --include="*.{js,ts,py,R}" . | grep -v "localhost\|127.0.0.1\|http://"

→ Debug off prod, no wildcard CORS prod, all external HTTPS.

If err: debug prod → disable. Wildcard CORS → explicit allowed domains. http://https:// where supported.

Step 7: Document Findings

# Security Audit Report

**Date**: YYYY-MM-DD
**Auditor**: [Name]
**Scope**: [Repository/Project]
**Status**: [PASS/FAIL/CONDITIONAL]

## Findings Summary

| Category | Status | Details |
|----------|--------|---------|
| Exposed secrets | PASS | No secrets found |
| .gitignore | PASS | Sensitive files excluded |
| Dependencies | WARN | 2 moderate vulnerabilities |
| Injection | PASS | Parameterized queries used |
| Auth/AuthZ | N/A | No authentication in scope |
| Configuration | PASS | Debug mode disabled |

## Detailed Findings

### Finding 1: [Title]
- **Severity**: Low / Medium / High / Critical
- **Location**: `path/to/file:line`
- **Description**: What was found
- **Recommendation**: How to fix
- **Status**: Open / Resolved

## Recommendations
1. Update dependencies to fix moderate vulnerabilities
2. [Additional recommendations]

SECURITY_AUDIT_REPORT.md in project root w/ findings categorized by severity, location, desc, recommendation.

If err: too many findings → group by category + prioritize critical|high. Generate regardless to baseline.

Check

  • No hardcoded secrets
  • .gitignore covers sensitive
  • No high|critical dep vulns
  • No injection vulns
  • Auth properly impl (if applicable)
  • Audit report complete + findings addressed

Traps

  • Only check current files: Secrets in git history still exposed. git log -p --all -S 'secret_pattern'.
  • Ignore dev deps: Dev deps still introduce supply chain risk.
  • False sense from .gitignore: Only prevents future tracking. Already-committed → git rm --cached.
  • Overlook configs: docker-compose.yml, CI configs, deploy scripts often have secrets.
  • No rotate compromised: Finding+removing not enough. Cred must be revoked + regenerated.

  • configure-git-repository — proper .gitignore setup
  • write-claude-md — document security reqs
  • setup-gxp-r-project — security in regulated envs

Dépôt GitHub

pjt222/agent-almanac
Chemin: i18n/caveman-ultra/skills/security-audit-codebase
0
agentsagentskillsai-assisted-developmentclaude-codeskillsteams

Compétences associées

qmd

Développement

qmd est un outil CLI de recherche et d'indexation locale qui permet aux développeurs d'indexer et de rechercher dans des fichiers locaux en utilisant une recherche hybride combinant BM25, des embeddings vectoriels et du reranking. Il prend en charge à la fois une utilisation en ligne de commande et un mode MCP (Model Context Protocol) pour l'intégration avec Claude. L'outil utilise Ollama pour les embeddings et stocke les index localement, ce qui le rend idéal pour rechercher dans de la documentation ou des bases de code directement depuis le terminal.

Voir la compétence

subagent-driven-development

Développement

Cette compétence exécute des plans de mise en œuvre en déployant un nouveau sous-agent pour chaque tâche indépendante, avec une revue de code entre les tâches. Elle permet une itération rapide tout en maintenant des contrôles de qualité grâce à ce processus de revue. Utilisez-la lorsque vous travaillez sur des tâches principalement indépendantes au sein d'une même session pour assurer une progression continue avec des vérifications de qualité intégrées.

Voir la compétence

mcporter

Développement

La compétence mcporter permet aux développeurs de gérer et d'appeler des serveurs Model Context Protocol (MCP) directement depuis Claude. Elle fournit des commandes pour lister les serveurs disponibles, appeler leurs outils avec des arguments, et gérer l'authentification ainsi que le cycle de vie du démon. Utilisez cette compétence pour intégrer et tester les fonctionnalités des serveurs MCP dans votre flux de travail de développement.

Voir la compétence

adk-deployment-specialist

Développement

Cette compétence déploie et orchestre des agents Vertex AI ADK en utilisant le protocole A2A, gérant la découverte d'AgentCard, la soumission de tâches, et prenant en charge des outils tels que le bac à sable d'exécution de code et la banque de mémoire. Elle permet de construire des systèmes multi-agents avec des modèles d'orchestration séquentiels, parallèles ou en boucle en Python, Java ou Go. Utilisez-la lorsqu'on vous demande de déployer des agents ADK ou d'orchestrer des flux de travail d'agents sur Google Cloud.

Voir la compétence