insecure-defaults

Skill do audytu bezpieczeństwa, który identyfikuje luki typu fail-open — sytuacje, gdzie aplikacja uruchamia się z osłabionymi zabezpieczeniami zamiast się wysypać. Wykrywa zakodowane sekrety, słabe uwierzytelnianie i zbyt permisywne ustawienia w kodzie produkcyjnym, plikach konfiguracyjnych, szablonach IaC i zmiennych środowiskowych. Rozróżnia krytyczne domyślne wartości od bezpiecznych wzorców, które wymuszają poprawną konfigurację. Idealne do przeglądu kodu przed wdrożeniem i oceny obsługi zmiennych środowiskowych.

1. Zainstaluj skill insecure-defaults w swoim środowisku Claude/Copilot, wskazując repozytorium trailofbits/skills.

2. Przygotuj kod lub konfigurację do audytu — skill pracuje z plikami źródłowymi, plikami wdrażania (Docker, Kubernetes, Terraform), plikami .env i szablonami konfiguracyjne.

3. Uruchom skill na wybranym katalogu lub pliku, aby przeskanować wzorce fail-open, takie jak SECRET = env.get('KEY') or 'default' lub PASSWORD = os.getenv('DB_PASS', 'admin').

4. Przeanalizuj wyniki — skill wyróżnia krytyczne luki (aplikacja uruchamia się z domyślnymi wartościami) od bezpiecznych wzorców (aplikacja się wysypie bez prawidłowej konfiguracji). Odrzuć fałszywe alarmy z plików testowych, przykładów i dokumentacji.

5. Zweryfikuj każde znalezisko, śledząc ścieżkę kodu — upewnij się, że domyślna wartość rzeczywiście trafia do produkcji, a nie zostaje nadpisana podczas wdrażania.

6. Usuń lub zastąp niebezpieczne domyślne wartości wymuszającymi jawną konfigurację, aby aplikacja nie mogła uruchomić się z osłabionymi zabezpieczeniami.