de rails-agent-skills17
Pipeline de scan de sécurité piloté par l'IA : reconnaissance, chasses automatisées selon les catégories OWASP, vérification et rapports consolidés pour les bases de code et les PR.
Security-Check transforme un assistant IA en un scanner de sécurité multi-étapes qui exécute les phases de Reconnaissance, Chasse, Vérification et Rapport. Il orchestre des vérifications de vulnérabilités parallèles sur les classes d'injection, le contrôle d'accès, l'exposition des données, la sécurité des API, les mauvaises configurations d'infrastructure et des scanners spécifiques aux langages. La compétence produit un répertoire de sortie structuré avec des rapports consolidés, des cartes d'architecture, des audits de dépendances et des conclusions vérifiées. Elle se concentre sur des scans pilotés par le langage naturel afin que les équipes puissent effectuer des audits et des diffs au niveau des PR sans modifications complexes de la CI.
Utilisez cette compétence pour les audits de sécurité de dépôts, le scan des diffs de PR avant fusion, l'analyse de la chaîne d'approvisionnement ou la génération de plans de remédiation avec des scores de sévérité CVSS et de confiance. Déclenchez-la lorsque l'utilisateur demande un audit de sécurité, un scan de vulnérabilités, un scan de PR ou une revue de style test de pénétration.
Conçu pour les agents capables de coordonner des analyses multi-étapes et de produire des fichiers en sortie (Claude Code, Cursor, Codex, Gemini CLI).
Security-check est une suite de scan de sécurité purement basée sur des prompts qui instruit les agents IA d'effectuer un pipeline en 4 phases (Recon→Hunt→Verify→Report) couvrant 48 compétences OWASP et 7 scanners spécifiques aux langages. Aucun script inclus — s'appuie entièrement sur les capacités de langage naturel de l'agent. Le SKILL.md est bien structuré avec des déclencheurs clairs et une taxonomie complète des compétences, mais manque de conseils sur la gestion des erreurs, de contrats de format de sortie au-delà de la structure des répertoires, et ne possède aucune vérification programmatique. Le score de sécurité est réduit car il instruit les agents d'effectuer des tests d'intrusion et des scans actifs qui pourraient être détournés sans gardes appropriés ; aucun secret codé en dur ni commande destructrice trouvée.
SKILL.md bien organisé avec un bon frontmatter. La taxonomie des 48 compétences est impressionnante, mais la profondeur réelle de chaque vérification dépend des connaissances de l'agent — aucun checklist ni fichier de référence n'est inclus. L'affirmation de '3000+ éléments de checklist' et '7 scanners profonds spécifiques aux langages' n'est pas appuyée par des fichiers de données inclus. Bénéficierait d'un répertoire references/ contenant le contenu réel des checklists.
