security-review

Use this skill when adding authentication, handling user input, working with secrets, creating API endpoints, or implementing payment/sensitive features. Provides comprehensive security checklist and patterns.

1. Aktywuj skill security-review w Claude lub innym narzędziu obsługującym umiejętności agenta, gdy pracujesz nad funkcjami wymagającymi bezpieczeństwa — dodajesz logowanie użytkownika, obsługujesz dane wrażliwe lub tworzysz nowy endpoint API.

2. Przejrzyj sekcję zarządzania kluczami: upewnij się, że żaden API key, token ani hasło nie jest wpisany bezpośrednio w kod. Wszystkie sekrety powinny pochodzić ze zmiennych środowiskowych (process.env.NAZWA_KLUCZA), a plik .env musi być w .gitignore.

3. Zastosuj walidację wejścia użytkownika przed przetworzeniem danych. Użyj biblioteki takiej jak Zod do zdefiniowania schematu (np. email musi być poprawnym adresem, nazwa od 1 do 100 znaków), a następnie parsuj i łap błędy walidacji.

4. Jeśli Twoja aplikacja przyjmuje przesyłane pliki, sprawdź rozmiar (np. maksymalnie 5 MB), typ MIME (np. tylko obrazy) i rozszerzenie pliku. Odrzuć wszystko, co nie spełnia kryteriów.

5. Przejdź przez checklist dla scenariusza, w którym pracujesz: dla uwierzytelniania, obsługi haseł, integracji API czy płatności. Skill zawiera konkretne punkty do weryfikacji dla każdego przypadku.

6. Przed wdrożeniem do produkcji upewnij się, że wszystkie sekrety są przechowywane w zarządzanym środowisku (Vercel, Railway) — nigdy nie commituj ich do repozytorium.