一键导入
security-checklist
Checklist de segurança pré-deploy — OWASP Top 10, headers, auth, secrets, dependências. Use antes de deploy ou review de segurança.
用 Codex 或 Claude 帮你安装 复制这段 Prompt,粘贴到 Codex、Claude 或其他助手里,让它检查 Skill 页面并帮你完成安装。
菜单
Checklist de segurança pré-deploy — OWASP Top 10, headers, auth, secrets, dependências. Use antes de deploy ou review de segurança.
用 Codex 或 Claude 帮你安装 复制这段 Prompt,粘贴到 Codex、Claude 或其他助手里,让它检查 Skill 页面并帮你完成安装。
基于 SOC 职业分类
Config central do fluxo Jira+Slack (fanti-flow). Project keys, canais, templates e padrões de comunicação. Editar com dados do seu workspace antes do primeiro uso.
Templates para gestão de projetos — user stories, ADRs, sprint planning, retrospectivas e roadmaps. Use quando precisar criar artifacts de PM.
Template padronizado para Pull Requests — título, descrição, checklist de review e labels. Use quando criar ou revisar PRs.
Templates prontos para PRD, RICE scoring, product brief e go-to-market. Use quando precisar documentar decisões de produto.
Patterns e boilerplates Python prontos — Repository Pattern, Settings, FastAPI estruturado, pytest fixtures. Use quando iniciar módulos ou precisar de referência.
Templates SQL prontos para diagnóstico de performance, migrations zero-downtime, e operações comuns em PostgreSQL
| name | security-checklist |
| description | Checklist de segurança pré-deploy — OWASP Top 10, headers, auth, secrets, dependências. Use antes de deploy ou review de segurança. |
| allowed-tools | Read, Write, Edit, Grep, Glob, Bash |
| model | sonnet |
Checklist de segurança acionável. Cada item cita CWE/OWASP quando aplicável pra você rastrear em ferramentas de SAST/DAST.
| OWASP | Nome | Onde tipicamente aparece |
|---|---|---|
| A01 | Broken Access Control | Controllers/guards sem ownership check |
| A02 | Cryptographic Failures | Senhas em plaintext, TLS opcional, secrets fracos |
| A03 | Injection | SQL concatenado, eval, comandos shell com input |
| A04 | Insecure Design | Falta rate limit, falta auth em endpoint sensível |
| A05 | Security Misconfiguration | Docker root, debug mode em prod, headers ausentes |
| A06 | Vulnerable Components | npm audit/pip audit sem revisão |
| A07 | Auth Failures | Token sem expiração, login sem throttle, senha fraca |
| A08 | Software Integrity Failures | CI/CD sem signing, deps de fonte não confiável |
| A09 | Logging & Monitoring Failures | Sem audit trail, PII em log |
| A10 | SSRF | Fetch de URL vinda do user sem allowlist |
resource.owner_id === user.id em /api/resource/:id — A01 (IDOR / CWE-639)/auth/login, /auth/register, /auth/forgot (5 req/min) — A07if (x === null) espalhadoeval, Function(), exec — zero uso com input externospawn([args]), nunca exec('cmd ' + input) — CWE-78.env, .env.local, .env.*.local no .gitignoretrufflehog, git-secrets)* em API autenticada)Content-Security-Policy configurado (pelo menos default-src 'self')X-Content-Type-Options: nosniffStrict-Transport-Security: max-age=31536000; includeSubDomainsX-Frame-Options: DENY ou CSP frame-ancestors 'none'Referrer-Policy: strict-origin-when-cross-originPermissions-Policy desabilitando features não usadas (camera, mic, geolocation)npm audit --production / pip audit sem high/criticalgit+ssh:// ou tarball randombeforeSend removendo PIIUSER node no Dockerfile)node:20-alpine, python:3.12-slim)curl, netcat, shell interativo)helmet() aplicado no bootstrapValidationPipe({ whitelist: true, forbidNonWhitelisted: true }) global@Throttle() em endpoints authapp.useGlobalFilters(new AllExceptionsFilter()))pino com redact: ['req.headers.authorization', 'req.body.password']CORSMiddleware com origins explícitoSecretStr (Pydantic) nos secrets — evita logging acidentalDepends com auth em todo endpoint protegidotext() requer cuidado)python-jose ou authlib atualizados — libs de JWT têm histórico de CVE*:*)secrets block na task definition (ARN do Secrets Manager)0.0.0.0/0)# Node.js
npm audit --production --omit=dev
npx better-npm-audit audit
# Buscar secrets no código
grep -rnE "(password|secret|api_key|token)\s*[:=]\s*['\"]" \
--include="*.ts" --include="*.js" \
--exclude-dir=node_modules --exclude-dir=dist src/
# Python
pip-audit
bandit -r src/
detect-secrets scan --baseline .secrets.baseline
# Docker
trivy image my-image:latest
docker scout quickview
# Git history (secrets já vazados)
trufflehog git file://. --only-verified
# Headers em produção (rodar contra staging/prod)
curl -sI https://api.example.com | grep -iE "strict-transport|content-security|x-frame"
process.env.X usado sem ConfigService ou wrappercatch {} em operação que toca dados sensíveisjwt.sign(payload, 'hardcoded-secret')WHERE email = '${email}' em queryres.send(req.query.html) sem sanitizaçãodangerouslySetInnerHTML sem DOMPurifycors({ origin: '*', credentials: true }) em API autenticadaRUN chmod 777 /app no Dockerfileconsole.log(user) em handler de login