From claude-forge
Scans code changes for CWE Top 25 vulns like SQLi, XSS, command injection in auth/API/payment files. Blocks criticals on commit; auto-fixes params/env vars with approval.
npx claudepluginhub sangrokjung/claude-forge --plugin claude-forgeThis skill uses the workspace's default tool permissions.
보안 파이프라인 스킬은 코드 변경 시 자동으로 CWE Top 25 기반 보안 검증을 수행한다.
Blocks unsafe code before commit with secret scanning, OWASP Top 10 detection, dependency audits, and permission checks. Hard gate that halts on critical findings.
Performs adversarial security audits using STRIDE threat modeling, OWASP Top 10 mapping, supply-chain CVE/SBOM review, secrets scanning, and auth/authz analysis for code changes touching auth, inputs, deps, or pre-release.
Runs hand-curated security sweep on git repos detecting leaked secrets, SQL/shell injections, XSS sinks, path traversal, deserialization risks, missing cookie flags, wildcard CORS, tracked credentials. Triages findings as real/false-positive.
Share bugs, ideas, or general feedback.
보안 파이프라인 스킬은 코드 변경 시 자동으로 CWE Top 25 기반 보안 검증을 수행한다.
/handoff-verify --security, /commit-push-pr 실행 시 통합 동작한다.
보안 체크리스트 참조: ~/.claude/skills/_reference/security-checklist.md
effort:max가 항상 강제 적용된다. 보안 검증은 축약하지 않는다.
다음 패턴을 포함하는 파일이 변경되면 보안 파이프라인이 자동으로 실행된다:
| 패턴 | 트리거 수준 | 설명 |
|---|---|---|
**/auth/** | Full Scan | 인증 관련 모듈 |
**/payment/** | Full Scan | 결제 처리 모듈 |
**/api/** | CWE Scan | API 엔드포인트 |
**/middleware/** | CWE Scan | 미들웨어 |
**/session* | CWE Scan | 세션 관리 |
**/token* | CWE Scan | 토큰 처리 |
**/crypto* | CWE Scan | 암호화 로직 |
**/admin/** | Full + STRIDE | 관리자 기능 |
**/upload* | CWE Scan | 파일 업로드 |
**/.env* | Credential Scan | 환경변수 파일 |
**/config/secret* | Credential Scan | 시크릿 설정 |
/commit-push-pr 실행 시 staged 파일 목록에서 위 패턴이 감지되면,
커밋 전 보안 파이프라인이 자동으로 실행된다.
| CWE ID | Rule | Grep Pattern |
|---|---|---|
| CWE-89 | SQL Injection | query\(.*\$\{, query\(.*\+ |
| CWE-79 | XSS | innerHTML, dangerouslySetInnerHTML, v-html |
| CWE-78 | OS Command Injection | exec\(.*\$\{, spawn\(.*req\. |
| CWE-77 | Command Injection | Template string in shell command |
| CWE-798 | Hardcoded Credentials | apiKey\s*=\s*['"], secret\s*=\s*['"] |
| CWE ID | Rule | Grep Pattern |
|---|---|---|
| CWE-22 | Path Traversal | \.\.\/ with user input |
| CWE-352 | CSRF | POST handler without csrf check |
| CWE-287 | Improper Auth | Route without auth middleware |
| CWE-862 | Missing Authz | Handler without role/permission check |
| CWE-502 | Unsafe Deserialization | eval\(, new Function\( |
| CWE-918 | SSRF | fetch\(.*req\., axios.*req\. |
| CWE-434 | Unrestricted Upload | Upload without validation |
| CWE-269 | Privilege Escalation | Role change without verification |
| CWE ID | Rule | Grep Pattern |
|---|---|---|
| CWE-200 | Info Disclosure | console\.log.*password|token|secret |
| CWE-20 | Input Validation | Endpoint without schema validation |
| CWE-327 | Broken Crypto | md5\(, sha1\(, Math\.random\(\) |
| CWE-276 | Incorrect Perms | origin:\s*['"]?\*, 0o?777 |
자동 수정은 사용자 승인 후 적용한다. 신뢰도가 High인 항목만 자동 수정 대상이다.
Before: db.query(`SELECT * FROM users WHERE id = '${id}'`)
After: db.query('SELECT * FROM users WHERE id = $1', [id])
Before: const apiKey = 'sk-proj-abc123'
After: const apiKey = process.env.API_KEY
+ .env.example에 API_KEY= 추가
Before: element.innerHTML = userInput
After: element.textContent = userInput
Before: console.log('Token:', token)
After: // (line removed)
Before: const hash = md5(data)
After: const hash = crypto.createHash('sha256').update(data).digest('hex')
/handoff-verify 커맨드의 검증 단계에서 보안 검사가 포함된다.
verify-agent가 민감 파일 변경을 감지하면 이 스킬을 자동 호출한다.
커밋 전 자동 보안 게이트로 동작한다:
이전 security-review 스킬의 OWASP 체크리스트는 _reference/security-checklist.md로 전환.
전체 보안 리뷰 시 이 스킬의 CWE Top 25 매핑 + STRIDE + 의존성 검사가 수행되며,
체크리스트 참조 파일을 함께 로드한다.
이 스킬은 항상 effort:max로 실행된다. 보안 검증에서 분석 깊이를 줄이는 것은 허용하지 않는다.
적용 범위: