/ الدليل / الملعب / claude-code-owasp
← كل الخوادم ↗ GitHub
● مجتمع agamm ⚡ فوري

claude-code-owasp

بواسطة agamm · agamm/claude-code-owasp

أفضل ممارسات OWASP مدمجة في Claude Code — Top 10:2025, ASVS 5.0, أمان الذكاء الاصطناعي الوكيل، بالإضافة إلى أكثر من 20 فقرة خاصة باللغة.

مهارة OWASP في Claude Code تعلم Claude التفكير مثل فني المراجعة الأمنية. تحمل إرشادات OWASP Top 10:2025، معايير التحقق من ASVS 5.0، إرشادات أمان الذكاء الاصطناعي الوكيل الجديدة، وأكثر من 20 قسم خاص باللغة (JS/TS, Python, Rust, Go, Java, Ruby, إلخ). مفيدة لمراجعة ما قبل الالتزام، مراجعة طلب الدمج، وجلسات نمذجة التهديدات.

▶ شاهد العرض 📦 التثبيت 💡 حالات الاستخدام

لماذا تستخدمه

الميزات الأساسية

عرض مباشر

كيف يبدو في الممارسة

claude-code-owasp-skill.replay ▶ جاهز
0/0

التثبيت

اختر العميل

~/Library/Application Support/Claude/claude_desktop_config.json  · Windows: %APPDATA%\Claude\claude_desktop_config.json
{
  "mcpServers": {
    "claude-code-owasp-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/agamm/claude-code-owasp",
        "~/.claude/skills/claude-code-owasp"
      ],
      "_inferred": true
    }
  }
}

افتح Claude Desktop → Settings → Developer → Edit Config. أعد التشغيل بعد الحفظ.

~/.cursor/mcp.json · .cursor/mcp.json
{
  "mcpServers": {
    "claude-code-owasp-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/agamm/claude-code-owasp",
        "~/.claude/skills/claude-code-owasp"
      ],
      "_inferred": true
    }
  }
}

يستخدم Cursor نفس مخطط mcpServers مثل Claude Desktop. إعدادات المشروع أولى من الإعدادات العامة.

VS Code → Cline → MCP Servers → Edit
{
  "mcpServers": {
    "claude-code-owasp-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/agamm/claude-code-owasp",
        "~/.claude/skills/claude-code-owasp"
      ],
      "_inferred": true
    }
  }
}

انقر على أيقونة MCP Servers في شريط Cline الجانبي، ثم "Edit Configuration".

~/.codeium/windsurf/mcp_config.json
{
  "mcpServers": {
    "claude-code-owasp-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/agamm/claude-code-owasp",
        "~/.claude/skills/claude-code-owasp"
      ],
      "_inferred": true
    }
  }
}

نفس الصيغة مثل Claude Desktop. أعد تشغيل Windsurf لتطبيق التغييرات.

~/.continue/config.json
{
  "mcpServers": [
    {
      "name": "claude-code-owasp-skill",
      "command": "git",
      "args": [
        "clone",
        "https://github.com/agamm/claude-code-owasp",
        "~/.claude/skills/claude-code-owasp"
      ]
    }
  ]
}

يستخدم Continue مصفوفة من كائنات الخادم بدلاً من خريطة.

~/.config/zed/settings.json
{
  "context_servers": {
    "claude-code-owasp-skill": {
      "command": {
        "path": "git",
        "args": [
          "clone",
          "https://github.com/agamm/claude-code-owasp",
          "~/.claude/skills/claude-code-owasp"
        ]
      }
    }
  }
}

أضف إلى context_servers. يعيد Zed التحميل تلقائيًا عند الحفظ.

claude mcp add claude-code-owasp-skill -- git clone https://github.com/agamm/claude-code-owasp ~/.claude/skills/claude-code-owasp

أمر من سطر واحد. تحقق باستخدام claude mcp list. احذف باستخدام claude mcp remove.

حالات الاستخدام

استخدامات عملية: claude-code-owasp

كيفية مراجعة الأمان لطلب دمج مع مراعاة OWASP Top 10

👤 المطورون الذين يجرون مراجعة ذاتية قبل طلب مراجعة بشرية ⏱ ~20 min intermediate

متى تستخدمه: قبل النقر على 'جاهز للمراجعة' على طلب دمج يتعامل مع المصادقة أو البيانات أو معالجة الإدخال.

المتطلبات الأساسية
  • تثبيت المهارة — git clone https://github.com/agamm/claude-code-owasp ~/.claude/skills/claude-code-owasp
الخطوات
  1. أشر إلى الفرق
    راجع طلب الدمج الحالي مقابل OWASP Top 10:2025. ركز على المصادقة ومعالجة الإدخال.✓ تم النسخ
    → النتائج المعينة لفئات Top 10 مع مراجع الأسطر
  2. تحديد الأولويات
    اجمع النتائج في 'يجب إصلاحها قبل الدمج' مقابل 'مسألة متابعة'. استشهد بمتطلب ASVS المحدد.✓ تم النسخ
    → قائمة مرتبة بمعرفات ASVS
  3. إنشاء الإصلاحات
    لكل إصلاح ضروري، اقترح الفرق الأدنى.✓ تم النسخ
    → فروق التصحيح المرتبطة بالنتائج

النتيجة: طلب دمج يشحن مع حل المشكلات الأمنية المعروفة، مع متطلبات قابلة للتتبع.

المزالق
  • تنبيهات مفرطة على الأنماط التافهة — اطلب من Claude إظهار مسار الاستغلال بشكل ملموس؛ إذا لم يتمكن، قلل درجة الخطورة

تشغيل نموذج تهديد خفيف الوزن على ميزة جديدة

👤 المهندسون الذين يصممون ميزة تتضمن بيانات المستخدم ⏱ ~40 min advanced

متى تستخدمه: مرحلة التصميم، قبل كتابة الكود، عندما تكون نطاق التأثير قابل للتفاوض.

الخطوات
  1. اوصف الميزة
    الميزة: المشاركة عبر الرابط لتقارير العملاء. يولد المستخدمون عناوين URL مرمزة صالحة لمدة 7 أيام. نموذج التهديد مع إدراج إرشادات OWASP للذكاء الاصطناعي الوكيل.✓ تم النسخ
    → قائمة STRIDE من التهديدات
  2. اختر الضوابط
    لكل تهديد، ما أرخص ضابط يخفف 80٪؟✓ تم النسخ
    → ضابط لكل تهديد + أساس الرفض للأشياء الباهظة

النتيجة: وثيقة نموذج تهديد يمكنك إرفاقها بوثيقة التصميم.

المزالق
  • قائمة ضوابط مفرط الهندسة — حدد بشكل واضح أفضل 5 تهديدات حسب الاحتمالية × التأثير

تقوية تكامل وكيل الذكاء الاصطناعي ضد حقن الرسائل الفورية

👤 المهندسون الذين يشحنون الميزات المدعومة بـ Claude/LLM ⏱ ~30 min advanced

متى تستخدمه: أنت على وشك السماح لـ LLM بلمس بيانات المستخدم أو استدعاء الأدوات.

الخطوات
  1. اوصف سطح الوكيل
    وكيلنا يقرأ رسائل الدعم ويمكنه استدعاء 3 أدوات: refund()، tag_account()، escalate(). راجع مخاطر الذكاء الاصطناعي الوكيل.✓ تم النسخ
    → متجهات حقن الرسائل الفورية، مخاطر إساءة استخدام الأدوات، مسارات تسرب البيانات
  2. تصميم الحواجز الواقية
    اقترح مجموعة حواجز وقائية دنيا: أي أدوات تحتاج تأكيد بشري، أي مدخلات تحتاج تنظيف، ما السجل المطلوب.✓ تم النسخ
    → مواصفات حاجز وقائي ملموسة

النتيجة: تصميم وكيل معزز مع حواجز وقائية موثقة.

المزالق
  • الاعتماد على دفاعات قائمة على الرسائل الفورية وحدها — اجمع مع ضوابط حتمية — إنسان في الحلقة للأدوات التدميرية، قوائم مسموحة لعناوين URL

تدقيق البحث عن حالات أمنية خاصة باللغة

👤 المراجعون الذين يتحققون من قاعدة الكود بلغة لا يعرفونها بعمق ⏱ ~15 min intermediate

متى تستخدمه: أنت تراجع كود Python كأصلي TS، أو العكس.

الخطوات
  1. حدد نطاق اللغة
    راجع وحدة Python هذه بحثاً عن حالات OWASP خاصة بـ Python (pickle, yaml.load, shell=True, إلخ).✓ تم النسخ
    → نتائج خاصة باللغة تتجاوز Top 10 العام

النتيجة: يلتقط ما قد تفتقده المراجعة غير المحددة للغة.

التركيبات

اجمعها مع خوادم MCP أخرى لتحقيق نتائج x10

claude-code-owasp-skill + claude-code-skill-factory-skill

يربط Skill Factory فحوصات OWASP كخطافات PreToolUse للبوابة التلقائية

استخدم خطاف /build في skill-factory لتشغيل مراجعة OWASP على كل استدعاء أداة Write في مستودعنا.✓ تم النسخ
claude-code-owasp-skill + seo-audit-skill

تداخل في رؤوس الأمان

شغل فئة الأمان في seo-audit، ثم مراجعة OWASP أعمق على النتائج.✓ تم النسخ
claude-code-owasp-skill + robotics-agent-skill

شبكات ROS الآمنة (rosbridge, Zenoh)

مهارة Robotics أنتجت websocket rosbridge — شغل مراجعة OWASP عليها.✓ تم النسخ

الأدوات

ما يوفره هذا الـ MCP

الأداةالمدخلاتمتى تستدعيهاالتكلفة
Top 10:2025 review diff or files مراجعة ذاتية لطلب الدمج Claude tokens
ASVS requirement check feature spec عمل الامتثال Claude tokens
Agentic AI threat model agent design شحن الميزات المدعومة بـ LLM Claude tokens
Language-specific audit language, files مراجعة عبر اللغات Claude tokens
Threat model (STRIDE) feature description مرحلة التصميم Claude tokens

التكلفة والحدود

تكلفة التشغيل

حصة API
بلا
الرموز لكل استدعاء
5-20k لكل مراجعة حسب حجم الكود
التكلفة المالية
مجاني
نصيحة
حدد مراجعات الملفات المتغيرة، وليس المستودع بأكمله.

الأمان

الصلاحيات والأسرار ونطاق الأثر

تخزين بيانات الاعتماد: بدون بيانات اعتماد
نقل البيانات الخارجي: يتم إرسال الكود إلى Claude للاستدلال

استكشاف الأخطاء

الأخطاء الشائعة وحلولها

Claude ignores OWASP context and gives generic advice

اذكر الإرشادات بشكل صريح: 'طبق فئة OWASP Top 10:2025 A03:2025 Injection هنا.'

Too many false positives

اطلب شرح الاستغلال قبل قبول النتيجة

البدائل

claude-code-owasp مقابل البدائل

البديلمتى تستخدمهاالمقايضة
Semgrep / Snykتريد تحليل ثابت حتمي في CIنقاط قوة مختلفة؛ ادمجهما معاً

المزيد

الموارد

📖 اقرأ ملف README الرسمي على GitHub

🐙 تصفح القضايا المفتوحة

🔍 تصفح أكثر من 400 خادم MCP و Skills