Compétence de Revue de Sécurité

Name: Compétence de Revue de Sécurité
Author: sickn33

Revue de sécurité basée sur une checklist pour les applications web : secrets, validation des entrées, authentification, XSS/CSRF, limitation du débit et gestion des dépendances.

déclencheurs:security reviewaudit securitycheck secretsvalidate inputsecurity checklist

Compétence de Revue de Sécurité

Cette compétence fournit une checklist de revue de sécurité pratique et des conseils pour les applications web et les API. Elle couvre la gestion des secrets, la validation des entrées, la prévention des injections SQL, l'authentification et l'autorisation, la prévention XSS/CSRF, la limitation du débit (rate limiting), les pratiques de journalisation, la sécurité des dépendances et des vérifications optionnelles de sécurité blockchain. Elle inclut des extraits de code d'exemple (TypeScript) et des étapes de vérification pour aider les ingénieurs à valider les contrôles de sécurité avant le déploiement.

Quand l'utiliser

Lors des revues de code pour les modifications d'authentification/autorisation
Lors de la manipulation d'entrées utilisateur ou de téléchargements de fichiers
Avant d'exposer de nouveaux points de terminaison API ou des flux de paiement
Lors de l'audit d'intégrations tierces ou de la gestion des secrets

Ce qu'elle inclut

Des recommandations concrètes (à faire et à ne pas faire) pour la gestion des secrets
Des modèles de validation d'entrées/téléchargements de fichiers avec des exemples zod
Des conseils de prévention des injections SQL et des exemples de requêtes paramétrées
Les meilleures pratiques d'authentification et d'autorisation (cookies httpOnly, exemples de RLS)
Des recommandations XSS et CSP avec un échantillon DOMPurify
Des modèles de jetons CSRF et des paramètres de cookies SameSite
Des stratégies de limitation du débit pour les API et les opérations coûteuses
Des conseils de journalisation et de gestion des erreurs évitant les fuites de données sensibles
Une checklist d'audit et de mise à jour des dépendances

Résultat

Une checklist structurée et des extraits d'exemple que vous pouvez appliquer ou inclure dans les vérifications CI et les modèles de PR.

Étiquettes

#security #audit #checklist #web #supabase #owasp

Pas encore audité

Cette compétence n'a pas encore été examinée par notre pipeline d'audit automatisé.

Informations

Dépôt: sickn33
Installations: 0

Plus de sickn33

Rétro-ingénierie (Reverse Engineer)

Fournit des directives étape par étape et des meilleures pratiques pour la rétro-ingénierie binaire : analyse statique, traçage dynamique, désassemblage et flux de documentation.

Bonnes Pratiques Node.js

Directives et prise de décision pour l'architecture Node.js, le runtime, les patterns asynchrones, la sécurité, la validation et les tests pour orienter les choix de frameworks et de systèmes.

Migration Angular

Guide les développeurs dans la migration d'applications AngularJS (1.x) vers Angular moderne (2+), avec des approches hybrides ngUpgrade, des conversions de composants/services et des stratégies de DI.

DOCX Officiel

Flux de travail et outils pour créer, éditer, analyser et convertir des fichiers .docx de manière sécurisée et reproductible, incluant le suivi des modifications et l'accès brut à l'OOXML.

Bases de Makepad

Guide les agents pour créer, structurer et amorcer des applications Rust Makepad en utilisant makepad-widgets (branche dev) avec des patterns de code, des macros et la gestion d'événements.

Modèles d'Analyse STRIDE

Applique la méthodologie de modélisation des menaces STRIDE pour identifier et documenter systématiquement les menaces de sécurité lors de la conception, des revues ou des audits.

Gestion des événements et des actions Makepad

Guide la gestion des entrées, du cycle de vie et des actions de widgets dans les applications Makepad — événements, hit testing, timers et flux d'actions parent-enfant.

Bases de Makepad

Guide les agents pour générer et expliquer des applications Rust Makepad : configuration, live_design!, app_main!, câblage des widgets et modèles courants pour le développement GUI multiplateforme.

Bases de Makepad (variante Claude)

Compétence d'agent pour les applications de démarrage Makepad : génère des exemples Rust, explique les modèles live_design! et guide la gestion des événements et le câblage des widgets pour les projets débutants

Claimable Postgres (pg.new)

Provisionnez instantanément des bases de données Postgres temporaires (pg.new) pour les démos, le prototypage et le développement local ; retourne une chaîne de connexion et une URL de réclamation (expiration 72h)

Compétences similaires

Reverse Engineer

Provides step-by-step guidance and best practices for binary reverse engineering: static analysis, dynamic tracing, disassembly, and documentation workflows for

Sandbox0 Integration

Guidance and templates for integrating Sandbox0 sandboxing into AI agents — CLI/SDK patterns, templates, volumes, network policy, and deployment choices.

FastAPI Project Templates

Creates production-ready FastAPI project scaffolds with async patterns, DI, middleware, and testing best practices for high-performance APIs.

OpenTestAI

Automated, high-confidence AI testing: bug detection, persona feedback, and prioritized test-case generation using many specialized tester profiles.

CTF Write-up Generator

Generate a concise, reproducible submission-style CTF writeup with a one-path solution script, metadata, and a short checklist for fast verification.

Minimal Run & Audit (repro reporting)

Execute a README-first smoke test and produce standardized reproducibility outputs (`repro_outputs/`) and PATCHES.md — trusted reporting for repo reproduction r

Skill Issue — Skill Auditor

Scan and audit installed agent skills to produce a health report covering inventory, usage, dependency checks, version status, and actionable recommendations.

GRC & Compliance (ServiceNow)

Guides Governance, Risk & Compliance (GRC) work in ServiceNow: policies, controls, risk records, audits and ES5 script examples for automating GRC workflows.