Skill

security-audit

Auditoria de seguranca sistematica. Scan, triage, remediate, re-scan. Cobre OWASP Top 10, dependencias vulneraveis e concerns do projeto. Ativado por: /security-audit, "auditoria seguranca", "vulnerabilidade", "OWASP", "CVE".

Install

npx claudepluginhub souzalemos/spec-driven-workflow --plugin spec-driven-workflow

Tool Access

This skill uses the workspace's default tool permissions.

Preview

4 fases com artefatos em .spec/workflows/audits/.

SKILL.md

Similar Skills

kotlin-ktor-patterns

Provides Ktor server patterns for routing DSL, plugins (auth, CORS, serialization), Koin DI, WebSockets, services, and testApplication testing.

everything-claude-code

163.2k

deep-research

Conducts multi-source web research with firecrawl and exa MCPs: searches, scrapes pages, synthesizes cited reports. For deep dives, competitive analysis, tech evaluations, or due diligence.

everything-claude-code

163.2k

inventory-demand-planning

Provides demand forecasting, safety stock optimization, replenishment planning, and promotional lift estimation for multi-location retailers managing 300-800 SKUs.

everything-claude-code

163.2k

Stats

Stars1

Forks0

Last CommitApr 6, 2026

Actions

View Source View Plugin View on GitHub View README

Security Audit — Scan sistematico

4 fases com artefatos em .spec/workflows/audits/.

Fase 1: Scan

Audit de dependencias: npm audit / pip audit / equivalente

Review de codigo para vulnerabilidades comuns:

Injection (SQL, command, XSS)
Falhas de auth/authz
Dados sensiveis expostos (secrets hardcoded, logs)
Configuracao insegura
Validacao de input ausente em boundaries

Headers de seguranca e CORS (se web app)

Gestao de secrets: .env files, config, env vars

Crie .spec/workflows/audits/SCAN-RESULTS.md com todos os findings

Fase 2: Triage

Rate cada finding:

Critico: exploravel, alto impacto — fix imediato
Alto: provavelmente exploravel — fix neste workflow
Medio: risco menor — fix se der tempo
Baixo: informacional — documentar para depois

Avalie explorabilidade: teorico ou pratico?

Atualize SCAN-RESULTS.md com severidades

Gate: Revise triage com humano. Concorde no que remediar.

Fase 3: Remediate

Corrija issues criticos e altos com testes

Commit individual por fix: fix(security): [descricao]

Nao introduza funcionalidade nova — apenas fixes de seguranca

Fase 4: Re-scan

Re-rode os scans da Fase 1

Verifique que issues corrigidos estao resolvidos

Crie .spec/workflows/audits/AUDIT-REPORT.md:

Resumo de findings e fixes
Items medio/baixo restantes para atencao futura
Recomendacoes de praticas de seguranca

Security Audit — Scan sistematico

4 fases com artefatos em .spec/workflows/audits/.

Fase 1: Scan

Audit de dependencias: npm audit / pip audit / equivalente
Review de codigo para vulnerabilidades comuns:
- Injection (SQL, command, XSS)
- Falhas de auth/authz
- Dados sensiveis expostos (secrets hardcoded, logs)
- Configuracao insegura
- Validacao de input ausente em boundaries
Headers de seguranca e CORS (se web app)
Gestao de secrets: .env files, config, env vars
Crie .spec/workflows/audits/SCAN-RESULTS.md com todos os findings

Fase 2: Triage

Rate cada finding:
- Critico: exploravel, alto impacto — fix imediato
- Alto: provavelmente exploravel — fix neste workflow
- Medio: risco menor — fix se der tempo
- Baixo: informacional — documentar para depois
Avalie explorabilidade: teorico ou pratico?
Atualize SCAN-RESULTS.md com severidades
Gate: Revise triage com humano. Concorde no que remediar.

Fase 3: Remediate

Corrija issues criticos e altos com testes
Commit individual por fix: fix(security): [descricao]
Nao introduza funcionalidade nova — apenas fixes de seguranca

Fase 4: Re-scan

Re-rode os scans da Fase 1
Verifique que issues corrigidos estao resolvidos
Crie .spec/workflows/audits/AUDIT-REPORT.md:
- Resumo de findings e fixes
- Items medio/baixo restantes para atencao futura
- Recomendacoes de praticas de seguranca