api-spectral

这是一个用于API安全测试的交互式HTTPS代理工具，支持拦截、修改和重放HTTP/HTTPS流量。它能够处理多种协议（HTTP/1/2/3、WebSockets）并提供Python脚本API实现自动化测试。主要适用于安全测试人员分析API通信、调试移动应用流量以及通过脚本自动化安全测试场景。

这个Claude Skill使用Bandit SAST工具扫描Python代码中的安全漏洞和反模式，特别擅长检测硬编码密钥、SQL注入、命令注入和不安全的API。它能生成带有严重性分类的安全报告，适用于CI/CD流水线集成，并提供包含CWE和OWASP框架参考的修复指导。开发者可在开发工作流程中使用它来强制执行Python安全最佳实践。

这个Skill通过Synopsys Black Duck提供软件成分分析，用于扫描依赖项中的已知漏洞、许可证合规风险和供应链安全威胁。它能在CI/CD流水线中持续监控依赖项，识别过时或无人维护的组件，并提供包含CVE/CWE映射的修复指导。开发者可在需要分析开源安全风险、确保许可证合规或评估第三方组件威胁时使用此工具。

dast-nuclei 是一个基于 Nuclei 的快速漏洞扫描工具，利用丰富的社区模板自动检测 CVE、OWASP Top 10 漏洞和各类安全配置错误。它适用于在 CI/CD 管道中运行模板化安全检查，并能针对特定组织模式创建自定义安全模板。该工具支持高效并发扫描多目标，并提供可定制的严重性阈值与速率限制控制。