performing-security-code-review
Automatyczna analiza kodu pod kątem luk bezpieczeństwa — SQL injection, XSS, błędy autentykacji.
Instalacja
Wybierz klienta i sklonuj repozytorium do odpowiedniego katalogu skilli.
Instalacja
O skillu
Umiejętność przeprowadzania audytów bezpieczeństwa kodu źródłowego. Skanuje projekt w poszukiwaniu typowych podatności: wstrzyknięcia SQL, XSS, błędów autentykacji, niezabezpieczonych zależności i ujawnionych sekretów. Generuje raporty z oceną ważności i konkretnymi rekomendacjami naprawy. Uruchamiaj frazami: "security scan", "audit" lub "vulnerability".
Jak używać
Określ zakres audytu — wybierz konkretne pliki, katalogi lub całą bazę kodu. Potwierdź główne języki programowania i frameworki używane w projekcie.
Zainicjuj skan w poszukiwaniu ujawnionych sekretów i poświadczeń. Narzędzie przeszuka kod pod kątem kluczy API, tokenów, haseł, kluczy dostępu AWS (wzór AKIA...) oraz nagłówków kluczy prywatnych (BEGIN PRIVATE KEY). Zwróć uwagę na pliki .env i konfiguracyjne zawierające hasła w tekście jawnym.
Przeanalizuj kod pod kątem podatności na wstrzyknięcia. Zidentyfikuj konkatenację surowych ciągów SQL (ryzyko SQL injection), niezasanityzowane dane użytkownika renderowane w HTML (ryzyko XSS) oraz wywołania eval(), exec() lub Function() z dynamicznym wejściem (ryzyko code injection).
Przejrzyj mechanizmy autentykacji i autoryzacji — sprawdź, czy tokeny są przechowywane bezpiecznie, czy sesje są prawidłowo zarządzane, czy uprawnienia są weryfikowane na każdym etapie.
Audytuj zależności projektu. Sprawdź plik package.json lub równoważny manifest w poszukiwaniu znanych podatności w bibliotekach. Zidentyfikuj przestarzałe lub niezamaintainowane pakiety.
Przejrzyj raport z wynikami — każda podatność powinna być oceniona pod względem ważności i zawierać konkretne wskazówki dotyczące naprawy oraz odniesienia do kategorii OWASP Top 10.