con un clic
security-rules
通用安全漏洞检测规则。适用于所有语言。当代码涉及用户输入处理、认证、序列化、文件操作、加解密、密钥管理时必须套用。
Instalar con Codex o Claude Copia este prompt, pégalo en Codex, Claude u otro asistente, y deja que revise la página de la skill y la instale por ti.
Menú
通用安全漏洞检测规则。适用于所有语言。当代码涉及用户输入处理、认证、序列化、文件操作、加解密、密钥管理时必须套用。
Instalar con Codex o Claude Copia este prompt, pégalo en Codex, Claude u otro asistente, y deja que revise la página de la skill y la instale por ti.
Basado en la clasificación ocupacional SOC
Angular 代码审查规则。当审查 Angular 项目的 .ts 文件(组件/服务/Directive)时套用。检查 DI、RxJS 订阅管理、Signals、Change Detection、模板安全([innerHTML] XSS)。
跨语言通用代码质量规则。当没有匹配的语言特定 skill 时作为 fallback 使用。适用于函数复杂度、命名规范、死代码、魔法数字。
Go 代码审查规则。当审查 .go 文件时套用。检查错误处理、goroutine 生命周期、接口设计、命名惯例、defer 使用。
Java 代码审查规则。当审查 .java 文件时套用。检查异常处理、资源管理(try-with-resources)、Optional 使用、Stream API、安全漏洞。
Python 代码审查规则。当审查 .py 文件时套用。检查类型注解、异常处理、命名规范、函数复杂度、安全漏洞(eval/exec/pickle/yaml.load/os.system)。
React/Next.js 代码审查规则。当审查 JSX/TSX 文件(React 项目)时套用。检查组件设计、Hooks 使用、状态管理、性能、安全(XSS)。
| name | security_rules |
| description | 通用安全漏洞检测规则。适用于所有语言。当代码涉及用户输入处理、认证、序列化、文件操作、加解密、密钥管理时必须套用。 |
| category | security |
| reviewer_type | security |
| languages | [] |
| references | ["patterns.md","go_patterns.md","java_patterns.md","rust_patterns.md","frontend_patterns.md"] |
*_test.go, *Test.java, test_*.py, *.spec.ts, __tests__/)→ 测试中的硬编码密钥、eval 是正常测试数据,不报告examples/, demo/, sample/)→ 为了演示目的可能故意简化安全措施*.md, README)→ 文档中的示例代码不审查Focus on: user input handling, authentication flows, data serialization, file operations, network requests, crypto usage, secret management.
dangerouslySetInnerHTML in React, v-html in Vue, {@html} in Svelte, [innerHTML] in Angular.. filteringpickle.loads on untrusted data (Python)yaml.load without Loader=SafeLoaderObjectInputStream on untrusted input (Java)eval() / exec() on user input (any language)True Positive: The code path is reachable with user-controlled input AND the vulnerability is exploitable. Confidence > 0.7.
False Positive:
exec in variable name like executor.run())