ワンクリックでManusで任意のスキルを実行

code-security-review

阿里巴巴Java开发手册 — 安全规约审查与指导。当用户涉及以下任何场景时触发： - 审查代码的安全性，检查SQL注入、XSS、CSRF等漏洞 - 用户输入校验、参数验证 - 敏感数据脱敏处理 - 权限控制、水平权限越界检查 - URL重定向安全、防重放攻击 - 用户生成内容的风控策略（防刷、违禁词过滤） - 代码审计、安全扫描 - 用户提到"安全规约"、"代码安全"、"SQL注入"、"XSS"、"CSRF"、"脱敏"等关键词此技能适用于所有编程语言的Web开发，不限于Java。

Manusで実行

概要

インストールコマンド

npx skills add https://github.com/Greenplumwine/alibaba-java-manual --skill code-security-review

このコマンドをClaude Codeにコピー＆ペーストしてスキルをインストール

ソース

Greenplumwine/alibaba-java-manual

スター2

フォーク0

更新日2026年5月8日 10:39

ファイルエクスプローラー

2 ファイル

SKILL.md

readonly

name

code-security-review

description

代码安全审查技能

作用

本技能基于《阿里巴巴Java开发手册》的安全规约章节，为所有Web开发者提供安全编码审查和指导。

涵盖以下安全领域：

安全领域	说明
权限控制	页面和功能的权限校验、水平权限越界防护
数据脱敏	敏感数据展示脱敏（手机号、身份证号等）
SQL注入防护	参数绑定、禁止字符串拼接SQL
输入校验	参数有效性验证、防止各类注入攻击
XSS防护	HTML输出转义、用户数据过滤
CSRF防护	表单和AJAX提交的CSRF验证
URL安全	外部重定向白名单过滤
防重放	短信/邮件/支付等资源的防刷机制
内容风控	UGC场景的防刷和违禁词过滤

使用方法

代码安全审查 — 输入：待审查的代码片段或文件路径；执行：读取 references/security-rules.md 后逐条对照检查；输出：按【强制】【推荐】【参考】分级的问题清单 + 具体修复代码
安全编码指导 — 输入：用户正在编写的涉及安全的代码场景；执行：引用对应安全领域的规约条款；输出：符合规约的编码建议 + 正例参考
漏洞排查 — 输入：已发现的安全问题描述或异常日志；执行：查阅规约定位违反条款；输出：规约定位 + 修复方案

边界条件处理

场景	处理方式
用户未提供代码	提示用户粘贴需要审查的代码或文件路径，说明本技能涵盖的安全审查范围（SQL注入、XSS、CSRF、权限控制、数据脱敏等）
代码量过大（>500行）	建议分批审查，优先审查高危模块：涉及用户输入、数据库操作、外部URL跳转、敏感数据处理的代码
非 Java / Web 代码	安全规约原则通用适用，但需提示用户部分语法层面的检查（如SQL参数绑定语法）可能因语言而异
references 文件缺失	基于通用Web安全知识给出审查建议，同时提示用户检查 `references/security-rules.md` 是否完整
审查后未发现明确漏洞	输出安全加固建议（归入【推荐】级别），不强制认定违规

审查检查点

执行安全审查时，以下场景需先向用户确认，再执行后续操作：

场景	检查内容
发现高危漏洞	先概述漏洞等级和影响，确认用户需要修复方案后再展开详细建议
建议涉及架构改动	如修复方案需调整模块结构或引入新依赖，输出前确认用户接受范围
用户未指定关注领域	列出本次审查覆盖的安全领域范围，确认后再开始逐条审查

规约文件索引

references/
└── security-rules.md    # 安全规约全文

规约等级说明

原文中的规约分为三个等级：

【强制】：必须遵守，违反会导致严重安全问题
【推荐】：建议遵守，提升整体安全水位
【参考】：供参考，根据具体情况决定是否采用

审查输出格式

审查代码安全性时，按以下结构输出：

【强制】违规项 — 高危安全漏洞，必须立即修复
【推荐】改进项 — 安全加固建议，存在被利用的风险
【参考】优化建议 — 提升安全水位的可选措施
修复建议 — 针对每个问题的具体修复方案

このリポジトリの他の Skills

同じリポジトリ

java-coding-convention

Greenplumwine/alibaba-java-manual

阿里巴巴Java开发手册 — 编程规约审查与指导。当用户涉及以下任何场景时触发： - 审查Java代码的命名风格、代码格式、常量定义是否规范 - 检查Java OOP代码（equals、BigDecimal、包装类型、序列化等）是否符合规约 - 审查Java集合使用（ArrayList、HashMap、subList、toArray等）是否正确 - 检查Java并发代码（线程池、锁、ThreadLocal、volatile等）是否安全 - 审查Java日期时间处理、控制语句、注释是否符合规范 - 进行Java代码走查、Code Review - 编写Java代码时需要遵循命名、格式等规范建议 - 用户提到"Java开发手册"、"阿里巴巴规约"、"Java规约"等关键词此技能也适用于Java代码重构、代码质量改进、新功能编码时的规范约束。

2026-05-082

db-mysql-standards

Greenplumwine/alibaba-java-manual

阿里巴巴Java开发手册 — 数据库规约审查与指导。当用户涉及以下任何场景时触发： - 数据库表设计、字段命名、类型选择 - 索引设计、优化SQL性能 - SQL语句审查（禁止select *、大事务拆分等） - ORM映射配置审查（MyBatis、Hibernate等） - 分库分表策略 - 数据库性能优化 - 用户提到"数据库设计"、"表结构"、"索引"、"SQL优化"、"ORM"等关键词此技能以MySQL为例，但原则适用于所有关系型数据库（PostgreSQL、Oracle等）。

2026-05-082

software-design-standards

Greenplumwine/alibaba-java-manual

阿里巴巴Java开发手册 — 软件设计规约审查与指导。当用户涉及以下任何场景时触发： - 系统架构设计、应用分层 - UML图使用（用例图、时序图、类图、状态图、活动图） - SOLID原则应用（单一职责、里氏代换、依赖倒置、开闭原则） - DRY原则、可扩展性设计 - 设计文档编写 - 领域模型定义（DO/DTO/BO/VO） - 用户提到"架构设计"、"应用分层"、"UML"、"SOLID"、"设计模式"等关键词此技能适用于所有编程语言和软件项目。

2026-05-082

exception-logging-standards

Greenplumwine/alibaba-java-manual

阿里巴巴Java开发手册 — 异常日志规约审查与指导。当用户涉及以下任何场景时触发： - 设计错误码体系、定义错误码规范 - 异常处理策略设计、try-catch规范 - 日志输出规范、日志级别使用 - 错误信息分层设计（error_code / error_message / user_tip） - Java异常处理代码审查（RuntimeException、NPE等） - 第三方服务错误码转义 - 用户提到"错误码"、"异常处理"、"日志"、"error code"、"log"等关键词此技能适用于所有编程语言，错误码设计和日志规范是通用能力。

2026-05-082

unit-testing-standards

Greenplumwine/alibaba-java-manual

阿里巴巴Java开发手册 — 单元测试规约审查与指导。当用户涉及以下任何场景时触发： - 编写单元测试、设计测试用例 - 测试覆盖率要求（语句覆盖、分支覆盖） - 测试策略设计（AIR原则、BCDE原则） - 数据库相关测试（数据准备、自动回滚） - Mock使用、依赖注入设计 - 不可测代码重构 - 用户提到"单元测试"、"test"、"coverage"、"Junit"等关键词此技能适用于所有编程语言，单元测试原则是通用的。

2026-05-082

java-project-standards

Greenplumwine/alibaba-java-manual

阿里巴巴Java开发手册 — 项目工程规约。当用户涉及以下任何场景时触发： - Maven依赖管理、GAV坐标定义、版本号规范 - 二方库（内部公共库）的设计与发布 - pom.xml配置审查、依赖冲突解决 - JVM参数配置、服务器调优 - 服务器部署、TCP调优、文件句柄数调整 - 用户提到"Maven"、"pom"、"二方库"、"JVM参数"、"依赖管理"等关键词此技能适用于Java项目的工程化建设、依赖配置审查、部署配置优化。

2026-05-082

ソース

Greenplumwine

Greenplumwine/alibaba-java-manual

GitHub リポジトリを開く Creator のリポジトリを見る

インストールコマンド

ダウンロード

Manusで実行

役立つ用途SOC

情報セキュリティアナリストコンピュータ・数学職15-1212L4

name

code-security-review

description

代码安全审查技能

作用

本技能基于《阿里巴巴Java开发手册》的安全规约章节，为所有Web开发者提供安全编码审查和指导。

涵盖以下安全领域：

安全领域	说明
权限控制	页面和功能的权限校验、水平权限越界防护
数据脱敏	敏感数据展示脱敏（手机号、身份证号等）
SQL注入防护	参数绑定、禁止字符串拼接SQL
输入校验	参数有效性验证、防止各类注入攻击
XSS防护	HTML输出转义、用户数据过滤
CSRF防护	表单和AJAX提交的CSRF验证
URL安全	外部重定向白名单过滤
防重放	短信/邮件/支付等资源的防刷机制
内容风控	UGC场景的防刷和违禁词过滤

使用方法

代码安全审查 — 输入：待审查的代码片段或文件路径；执行：读取 references/security-rules.md 后逐条对照检查；输出：按【强制】【推荐】【参考】分级的问题清单 + 具体修复代码
安全编码指导 — 输入：用户正在编写的涉及安全的代码场景；执行：引用对应安全领域的规约条款；输出：符合规约的编码建议 + 正例参考
漏洞排查 — 输入：已发现的安全问题描述或异常日志；执行：查阅规约定位违反条款；输出：规约定位 + 修复方案

边界条件处理

场景	处理方式
用户未提供代码	提示用户粘贴需要审查的代码或文件路径，说明本技能涵盖的安全审查范围（SQL注入、XSS、CSRF、权限控制、数据脱敏等）
代码量过大（>500行）	建议分批审查，优先审查高危模块：涉及用户输入、数据库操作、外部URL跳转、敏感数据处理的代码
非 Java / Web 代码	安全规约原则通用适用，但需提示用户部分语法层面的检查（如SQL参数绑定语法）可能因语言而异
references 文件缺失	基于通用Web安全知识给出审查建议，同时提示用户检查 `references/security-rules.md` 是否完整
审查后未发现明确漏洞	输出安全加固建议（归入【推荐】级别），不强制认定违规

审查检查点

执行安全审查时，以下场景需先向用户确认，再执行后续操作：

场景	检查内容
发现高危漏洞	先概述漏洞等级和影响，确认用户需要修复方案后再展开详细建议
建议涉及架构改动	如修复方案需调整模块结构或引入新依赖，输出前确认用户接受范围
用户未指定关注领域	列出本次审查覆盖的安全领域范围，确认后再开始逐条审查

规约文件索引

references/
└── security-rules.md    # 安全规约全文

规约等级说明

原文中的规约分为三个等级：

【强制】：必须遵守，违反会导致严重安全问题
【推荐】：建议遵守，提升整体安全水位
【参考】：供参考，根据具体情况决定是否采用

审查输出格式

审查代码安全性时，按以下结构输出：

【强制】违规项 — 高危安全漏洞，必须立即修复
【推荐】改进项 — 安全加固建议，存在被利用的风险
【参考】优化建议 — 提升安全水位的可选措施
修复建议 — 针对每个问题的具体修复方案