performing-security-code-review

Execute this skill enables AI assistant to conduct a security-focused code review using the security-agent plugin. it analyzes code for potential vulnerabilities like sql injection, xss, authentication flaws, and insecure dependencies. AI assistant uses this skill wh... Use when assessing security or running audits. Trigger with phrases like 'security scan', 'audit', or 'vulnerability'.

1. Określ zakres audytu — wybierz konkretne pliki, katalogi lub całą bazę kodu. Potwierdź główne języki programowania i frameworki używane w projekcie.

2. Zainicjuj skan w poszukiwaniu ujawnionych sekretów i poświadczeń. Narzędzie przeszuka kod pod kątem kluczy API, tokenów, haseł, kluczy dostępu AWS (wzór AKIA...) oraz nagłówków kluczy prywatnych (BEGIN PRIVATE KEY). Zwróć uwagę na pliki .env i konfiguracyjne zawierające hasła w tekście jawnym.

3. Przeanalizuj kod pod kątem podatności na wstrzyknięcia. Zidentyfikuj konkatenację surowych ciągów SQL (ryzyko SQL injection), niezasanityzowane dane użytkownika renderowane w HTML (ryzyko XSS) oraz wywołania eval(), exec() lub Function() z dynamicznym wejściem (ryzyko code injection).

4. Przejrzyj mechanizmy autentykacji i autoryzacji — sprawdź, czy tokeny są przechowywane bezpiecznie, czy sesje są prawidłowo zarządzane, czy uprawnienia są weryfikowane na każdym etapie.

5. Audytuj zależności projektu. Sprawdź plik package.json lub równoważny manifest w poszukiwaniu znanych podatności w bibliotekach. Zidentyfikuj przestarzałe lub niezamaintainowane pakiety.

6. Przejrzyj raport z wynikami — każda podatność powinna być oceniona pod względem ważności i zawierać konkretne wskazówki dotyczące naprawy oraz odniesienia do kategorii OWASP Top 10.