security-review

Umiejętność security-review to zestaw wytycznych i checklist do weryfikacji bezpieczeństwa Twojego kodu. Aktywujesz ją podczas pracy z uwierzytelnianiem, walidacją danych użytkownika, zarządzaniem kluczami API, tworzeniem endpointów czy implementacją płatności. Otrzymujesz konkretne wzorce i reguły: jak przechowywać sekrety w zmiennych środowiskowych zamiast hardcodować je, jak walidować input za pomocą schematów (np. Zod), jak sprawdzać przesyłane pliki. Skill obejmuje także kontrolę integracji z API trzecich stron i bezpiecznego przechowywania danych wrażliwych.

1. Aktywuj skill security-review w Claude lub innym narzędziu obsługującym umiejętności agenta, gdy pracujesz nad funkcjami wymagającymi bezpieczeństwa — dodajesz logowanie użytkownika, obsługujesz dane wrażliwe lub tworzysz nowy endpoint API.

2. Przejrzyj sekcję zarządzania kluczami: upewnij się, że żaden API key, token ani hasło nie jest wpisany bezpośrednio w kod. Wszystkie sekrety powinny pochodzić ze zmiennych środowiskowych (process.env.NAZWA_KLUCZA), a plik .env musi być w .gitignore.

3. Zastosuj walidację wejścia użytkownika przed przetworzeniem danych. Użyj biblioteki takiej jak Zod do zdefiniowania schematu (np. email musi być poprawnym adresem, nazwa od 1 do 100 znaków), a następnie parsuj i łap błędy walidacji.

4. Jeśli Twoja aplikacja przyjmuje przesyłane pliki, sprawdź rozmiar (np. maksymalnie 5 MB), typ MIME (np. tylko obrazy) i rozszerzenie pliku. Odrzuć wszystko, co nie spełnia kryteriów.

5. Przejdź przez checklist dla scenariusza, w którym pracujesz: dla uwierzytelniania, obsługi haseł, integracji API czy płatności. Skill zawiera konkretne punkty do weryfikacji dla każdego przypadku.

6. Przed wdrożeniem do produkcji upewnij się, że wszystkie sekrety są przechowywane w zarządzanym środowisku (Vercel, Railway) — nigdy nie commituj ich do repozytorium.