代码安全审计工作流 - 自动化漏洞扫描与修复验证工具

security by parcadei/continuous-claude-v3

211 周安装量

3,600 GitHub Stars

GitHub

安装命令

npx skills add https://github.com/parcadei/continuous-claude-v3 --skill security

自动化代码质量安全

🇨🇳中文介绍

/security - 安全审计工作流

专为敏感代码进行安全分析。

何时使用

"安全审计"
"检查漏洞"
"这安全吗？"
"审查认证代码"
"检查注入攻击"
在处理认证、支付、用户数据之前
在添加安全敏感功能之后

工作流概览

    ┌─────────┐    ┌───────────┐
    │  aegis  │───▶│ arbiter  │
    │         │    │           │
    └─────────┘    └───────────┘
      安全审计       验证修复

代理序列

| 代理 | 角色 | 输出

---|---|---|--- 1 | aegis | 全面安全扫描 | 漏洞报告 2 | arbiter | 验证修复，运行安全测试 | 验证报告

为何需要专门的安全审计？

/review 工作流侧重于代码质量。安全需要：

专门的漏洞模式识别
依赖项扫描
密钥检测
OWASP Top 10 检查
认证/授权审查

执行流程

阶段 1：安全审计

Task(
  subagent_type="aegis",
  prompt="""
  安全审计：[SCOPE]

  扫描以下内容：

  **注入攻击：**
  - SQL 注入
  - 命令注入
  - XSS（跨站脚本）
  - LDAP 注入

  **认证/授权：**
  - 身份验证缺陷
  - 会话管理问题
  - 权限提升
  - 不安全的直接对象引用

  **数据保护：**
  - 敏感数据泄露
  - 硬编码密钥/凭证
  - 不安全的加密
  - 缺少加密

  **配置：**
  - 安全配置错误
  - 默认凭证
  - 详细错误信息
  - 缺少安全头部

  **依赖项：**
  - 已知的易受攻击包
  - 过时的依赖项
  - 供应链风险

  输出：包含以下内容的详细报告：
  - 严重性（CRITICAL/HIGH/MEDIUM/LOW）
  - 位置（文件:行号）
  - 描述
  - 修复步骤
  """
)

广告位招租

在这里展示您的产品或服务

触达数万 AI 开发者，精准高效

联系我们

相关 Skills

FlyClaw：零登录航班聚合查询工具，Python实现多源航班信息与价格搜索

4,000,000 周安装

Azure RBAC 权限管理工具：查找最小角色、创建自定义角色与自动化分配

117,000 周安装

GitHub Actions 官方文档查询助手 - 精准解答 CI/CD 工作流问题

31,800 周安装

Skills CLI 使用指南：AI Agent 技能包管理器安装与管理教程

31,600 周安装

用户：/security the payment processing code

Claude: 开始对支付代码进行 /security 审计...

阶段 1：安全审计...
[生成 aegis]

┌─────────────────────────────────────────────────────────────┐
│ 安全审计报告                                                │
├─────────────────────────────────────────────────────────────┤
│ 范围：src/services/payment/                                 │
│ 已扫描文件：12                                              │
│ 已分析行数：2,847                                           │
├─────────────────────────────────────────────────────────────┤
│ 严重（1）                                                   │
│ ──────────                                                  │
│ [C1] payment.py:89 存在 SQL 注入                            │
│      query = f"SELECT * FROM orders WHERE id = {order_id}"  │
│      修复：使用参数化查询                                    │
│                                                             │
│ 高危（2）                                                   │
│ ────────                                                    │
│ [H1] stripe_client.py:12 存在硬编码 API 密钥                │
│      STRIPE_KEY = "sk_live_..."                             │
│      修复：移至环境变量                                      │
│                                                             │
│ [H2] refund.py:45 缺少输入验证                              │
│      amount = request.json['amount']  # 无验证               │
│      修复：验证金额为正数                                    │
│                                                             │
│ 中危（1）                                                   │
│ ──────────                                                  │
│ [M1] error_handler.py:23 存在详细错误信息                   │
│      return {"error": str(e)}  # 泄露内部细节               │
│      修复：返回通用信息，内部记录详细信息                    │
│                                                             │
│ 低危（0）                                                   │
│ ───────                                                     │
│ 无                                                          │
├─────────────────────────────────────────────────────────────┤
│ 摘要：1 个严重，2 个高危，1 个中危，0 个低危                │
│ 状态：阻塞 - 发布前请修复严重问题                           │
└─────────────────────────────────────────────────────────────┘

修复严重和高危问题后，运行：
/security --verify

风险	已检查
A01 访问控制失效	✅
A02 加密机制失效	✅
A03 注入	✅
A04 不安全设计	✅
A05 安全配置错误	✅
A06 易受攻击的组件	✅
A07 身份验证和授权失效	✅
A08 数据完整性失效	✅
A09 安全日志和监控失效	✅
A10 服务器端请求伪造	✅

🇺🇸English

/security - Security Audit Workflow

Dedicated security analysis for sensitive code.

When to Use

"Security audit"
"Check for vulnerabilities"
"Is this secure?"
"Review authentication code"
"Check for injection attacks"
Before handling auth, payments, user data
After adding security-sensitive features

Workflow Overview

┌─────────┐    ┌───────────┐
│  aegis  │───▶│ arbiter  │
│         │    │           │
└─────────┘    └───────────┘
  Security       Verify
  audit          fixes

Agent Sequence

| Agent | Role | Output

---|---|---|---
1 | aegis | Comprehensive security scan | Vulnerability report
2 | arbiter | Verify fixes, run security tests | Verification report

Why Dedicated Security?

The /review workflow focuses on code quality. Security needs:

Specialized vulnerability patterns
Dependency scanning
Secret detection
OWASP Top 10 checks
Authentication/authorization review

Execution

Phase 1: Security Audit

Task(
  subagent_type="aegis",
  prompt="""
  Security audit: [SCOPE]

  Scan for:

  **Injection Attacks:**
  - SQL injection
  - Command injection
  - XSS (Cross-Site Scripting)
  - LDAP injection

  **Authentication/Authorization:**
  - Broken authentication
  - Session management issues
  - Privilege escalation
  - Insecure direct object references

  **Data Protection:**
  - Sensitive data exposure
  - Hardcoded secrets/credentials
  - Insecure cryptography
  - Missing encryption

  **Configuration:**
  - Security misconfigurations
  - Default credentials
  - Verbose error messages
  - Missing security headers

  **Dependencies:**
  - Known vulnerable packages
  - Outdated dependencies
  - Supply chain risks

  Output: Detailed report with:
  - Severity (CRITICAL/HIGH/MEDIUM/LOW)
  - Location (file:line)
  - Description
  - Remediation steps
  """
)

Phase 2: Verification (After Fixes)

Task(
  subagent_type="arbiter",
  prompt="""
  Verify security fixes: [SCOPE]

  Run:
  - Security-focused tests
  - Dependency audit (npm audit, pip audit)
  - Re-check reported vulnerabilities
  - Verify fixes don't introduce regressions

  Output: Verification report
  """
)

Security Scopes

Full Codebase

User: /security
→ Scan entire codebase

Specific Area

User: /security authentication
→ Focus on auth-related code

Single File

User: /security src/api/auth.py
→ Deep dive on one file

Dependencies Only

User: /security --deps
→ Only dependency vulnerabilities

Example

User: /security the payment processing code

Claude: Starting /security audit for payment code...

Phase 1: Security audit...
[Spawns aegis]

┌─────────────────────────────────────────────────────────────┐
│ Security Audit Report                                       │
├─────────────────────────────────────────────────────────────┤
│ Scope: src/services/payment/                                │
│ Files scanned: 12                                           │
│ Lines analyzed: 2,847                                       │
├─────────────────────────────────────────────────────────────┤
│ CRITICAL (1)                                                │
│ ──────────                                                  │
│ [C1] SQL Injection in payment.py:89                         │
│      query = f"SELECT * FROM orders WHERE id = {order_id}"  │
│      Fix: Use parameterized queries                         │
│                                                             │
│ HIGH (2)                                                    │
│ ────────                                                    │
│ [H1] Hardcoded API key in stripe_client.py:12               │
│      STRIPE_KEY = "sk_live_..."                             │
│      Fix: Move to environment variable                      │
│                                                             │
│ [H2] Missing input validation in refund.py:45               │
│      amount = request.json['amount']  # No validation       │
│      Fix: Validate amount is positive number                │
│                                                             │
│ MEDIUM (1)                                                  │
│ ──────────                                                  │
│ [M1] Verbose error messages in error_handler.py:23          │
│      return {"error": str(e)}  # Leaks internal details     │
│      Fix: Return generic message, log details internally    │
│                                                             │
│ LOW (0)                                                     │
│ ───────                                                     │
│ None                                                        │
├─────────────────────────────────────────────────────────────┤
│ Summary: 1 critical, 2 high, 1 medium, 0 low                │
│ Status: BLOCKING - Fix critical issues before release       │
└─────────────────────────────────────────────────────────────┘

Fix the critical and high issues, then run:
/security --verify

After Fixes

User: /security --verify

Claude: Phase 2: Verifying fixes...
[Spawns arbiter]

✅ C1: SQL injection fixed - using parameterized queries
✅ H1: API key moved to environment variable
✅ H2: Input validation added
✅ M1: Error messages sanitized

All security tests passing.
Security audit: PASSED

OWASP Top 10 Coverage

Risk	Checked
A01 Broken Access Control	✅
A02 Cryptographic Failures	✅
A03 Injection	✅
A04 Insecure Design	✅
A05 Security Misconfiguration	✅
A06 Vulnerable Components	✅
A07 Auth Failures	✅
A08 Data Integrity Failures	✅
A09 Logging Failures	✅
A10 SSRF	✅

Flags

--deps: Dependencies only
--verify: Re-run after fixes
--owasp: Explicit OWASP Top 10 report
--secrets: Focus on secret detection

Weekly Installs

211

Repository

parcadei/contin…laude-v3

GitHub Stars

3.6K

First Seen

Jan 22, 2026

Security Audits

Gen Agent Trust HubPass SocketPass SnykFail

Installed on

opencode203

codex201

gemini-cli200

cursor198

github-copilot197

amp193