Analyse de Sécurité Sharp Edges

Identifie les API sujettes aux erreurs et les conceptions « footgun » qui poussent les développeurs vers des configurations non sécurisées et des erreurs d'implémentation.

déclencheurs:footgunmisuse-resistantsecure defaultsapi usabilitydangerous configuration

GitHub SKILL.md

Ce qu'il fait

Cette compétence implémente une analyse du « puits de succès » pour évaluer si les API et les configurations sont résistantes aux erreurs d'utilisation des développeurs. Elle identifie les « sharp edges » (bords tranchants) — des choix de conception où le chemin le plus intuitif ou le plus facile mène à une vulnérabilité de sécurité.

Quand l'utiliser

Utilisez cette compétence lors des revues de conception d'API, de l'audit des schémas de configuration, de l'évaluation de l'ergonomie des bibliothèques cryptographiques ou pour évaluer si un système est « sécurisé par défaut ».

Ce qui est inclus

Cadre d'analyse : Un flux de travail en quatre phases (Identification de la Surface, Sondage des Cas Limites, Modélisation des Menaces et Validation).
Guides de catégories : Des modèles de détection spécifiques pour les erreurs de sélection d'algorithmes, les valeurs par défaut dangereuses, les API primitives vs sémantiques et les ruptures de configuration.
Personas d'adversaires : Des directives pour tester face à « Le Scélérat », « Le Développeur Paresseux » et « Le Développeur Confus ».

Agents compatibles

Idéal pour les agents de codage axés sur la sécurité, les architectes IA et les bots de revue de PR dans des environnements tels que Claude Code, Cursor ou des harnais d'agents de sécurité personnalisés.

Étiquettes

#security-architecture #api-design #footgun #secure-by-default #threat-modeling #devsecops

Pas encore audité

Cette compétence n'a pas encore été examinée par notre pipeline d'audit automatisé.

Informations

Dépôt: prodsec-skills
Étoiles: 40

Plus de prodsec-skills

Expert en Analyse SARIF

Analyse, filtre et agrège les fichiers SARIF provenant d'outils d'analyse statique tels que CodeQL et Semgrep.

Compétences similaires

ACP Checkout — MCP Binding

Guidance to expose ACP checkout REST operations as MCP tools so agents can perform commerce flows (create/update/complete/cancel checkout).

Code Audit

Perform professional code security audits across 9 languages with configurable quick/standard/deep modes and Docker-backed verification.

API and Interface Design

Guides design of stable, predictable APIs and interfaces — contract-first patterns, error semantics, pagination, and naming conventions for robust integrations.

Performing Threat Modeling with OWASP Threat Dragon

Use OWASP Threat Dragon to create data-flow diagrams, apply STRIDE/LINDDUN threat classifications, and generate threat-model reports to guide secure design revi

STRIDE Analysis Patterns

Apply the STRIDE threat-modeling methodology to systematically identify and document security threats during design, reviews, or audits.

Semgrep Code Security Scanner

Run Semgrep-based security scans to detect vulnerabilities, secrets, and OWASP Top 10 issues, and produce a categorized report with remediation suggestions.

Security Threat Model (Repository-grounded)

Generate an evidence-backed, repository-specific threat model that enumerates trust boundaries, assets, attacker capabilities, abuse paths, and prioritized miti

Secure Code Guardian

Provides concrete guidance and code examples to implement authentication, authorization, input validation, and other defenses against OWASP Top 10 vulnerabiliti

Retour aux compétences