/ الدليل / الملعب / security-skills
← كل الخوادم ↗ GitHub
● مجتمع eth0izzle ⚡ فوري

security-skills

بواسطة eth0izzle · eth0izzle/security-skills

مهارات الأمان الدفاعي لـ Claude Code — نمذجة التهديدات، ومراجعة الإعدادات، وتدقيق المعتمدات. موجهة للفرق الدفاعية، وليست لمختبري الاختراق.

مجموعة من مهارات Claude Code موجهة للعمل الأمني الدفاعي: مراجعة سياسات IAM، والتحقق من أشجار المعتمدات بحثاً عن ثغرات معروفة، وإنتاج نماذج التهديدات للميزات الجديدة، وتدقيق ملفات Docker وبيانات k8s للأخطاء التكوينية الشائعة.

▶ شاهد العرض 📦 التثبيت 💡 حالات الاستخدام

لماذا تستخدمه

الميزات الأساسية

عرض مباشر

كيف يبدو في الممارسة

security-skill.replay ▶ جاهز
0/0

التثبيت

اختر العميل

~/Library/Application Support/Claude/claude_desktop_config.json  · Windows: %APPDATA%\Claude\claude_desktop_config.json
{
  "mcpServers": {
    "security-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/eth0izzle/security-skills",
        "~/.claude/skills/security-skills"
      ],
      "_inferred": true
    }
  }
}

افتح Claude Desktop → Settings → Developer → Edit Config. أعد التشغيل بعد الحفظ.

~/.cursor/mcp.json · .cursor/mcp.json
{
  "mcpServers": {
    "security-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/eth0izzle/security-skills",
        "~/.claude/skills/security-skills"
      ],
      "_inferred": true
    }
  }
}

يستخدم Cursor نفس مخطط mcpServers مثل Claude Desktop. إعدادات المشروع أولى من الإعدادات العامة.

VS Code → Cline → MCP Servers → Edit
{
  "mcpServers": {
    "security-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/eth0izzle/security-skills",
        "~/.claude/skills/security-skills"
      ],
      "_inferred": true
    }
  }
}

انقر على أيقونة MCP Servers في شريط Cline الجانبي، ثم "Edit Configuration".

~/.codeium/windsurf/mcp_config.json
{
  "mcpServers": {
    "security-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/eth0izzle/security-skills",
        "~/.claude/skills/security-skills"
      ],
      "_inferred": true
    }
  }
}

نفس الصيغة مثل Claude Desktop. أعد تشغيل Windsurf لتطبيق التغييرات.

~/.continue/config.json
{
  "mcpServers": [
    {
      "name": "security-skill",
      "command": "git",
      "args": [
        "clone",
        "https://github.com/eth0izzle/security-skills",
        "~/.claude/skills/security-skills"
      ]
    }
  ]
}

يستخدم Continue مصفوفة من كائنات الخادم بدلاً من خريطة.

~/.config/zed/settings.json
{
  "context_servers": {
    "security-skill": {
      "command": {
        "path": "git",
        "args": [
          "clone",
          "https://github.com/eth0izzle/security-skills",
          "~/.claude/skills/security-skills"
        ]
      }
    }
  }
}

أضف إلى context_servers. يعيد Zed التحميل تلقائيًا عند الحفظ.

claude mcp add security-skill -- git clone https://github.com/eth0izzle/security-skills ~/.claude/skills/security-skills

أمر من سطر واحد. تحقق باستخدام claude mcp list. احذف باستخدام claude mcp remove.

حالات الاستخدام

استخدامات عملية: security-skills

إنتاج نموذج تهديدات STRIDE لميزة جديدة

👤 مهندسو الأمان ومهندسو المستوى الأعلى المسؤولون عن مراجعة أمان الميزة ⏱ ~45 min advanced

متى تستخدمه: مراجعة التصميم لميزة تتعامل مع بيانات المستخدمين أو المصادقة أو الشبكات الخارجية.

المتطلبات الأساسية
  • وثيقة تصميم الميزة أو مخطط المعمارية — ألصقها في الدردشة أو أشر Claude إلى الملف
  • تم تثبيت المهارة — git clone https://github.com/eth0izzle/security-skills ~/.claude/skills/security-skills
الخطوات
  1. استكشاف النظام
    استخدم security-skills. إليك التصميم لـ [feature]. عدّد حدود الثقة وتدفقات البيانات.✓ تم النسخ
    → حدود ثقة مسماة وأسهم تدفق بيانات واضحة
  2. تطبيق STRIDE
    لكل حد، حدد مخاطر الانتحال والتعديل والتنصل والإفشاء والحرمان من الخدمة والترقية.✓ تم النسخ
    → جدول يصنف التهديدات وليس تعليقات عامة من قبيل 'ضع في الاعتبار XSS'
  3. اقترح المعالجات
    صنف التهديدات حسب الاحتمالية × التأثير واقترح معالجات محددة للأفضل 5.✓ تم النسخ
    → ضوابط محددة (حد التجاوز والطلبات الموقعة وسجل التدقيق)

النتيجة: وثيقة نموذج التهديدات جاهزة لاجتماع مراجعة الأمان.

المزالق
  • يصبح STRIDE مجرد قوائم تحقق شكلية — اطلب قصصاً محددة للمهاجمين — 'المهاجم الذي يملك X يريد Y ويفعل Z'
اجمعها مع: filesystem

البحث عن ثغرات معروفة في معتمدات المستودع

👤 فرق التطوير التي تستجيب لتنبيه أمني ⏱ ~30 min intermediate

متى تستخدمه: عندما يظهر CVE جديد وتحتاج إلى معرفة حيث أنت معرض.

الخطوات
  1. أشر إلى ملف البيانات الوصفية
    استخدم security-skills. دقق في package-lock.json عن المعتمدات التي تحتوي على ثغرات معروفة نُشرت في آخر 90 يوم.✓ تم النسخ
    → قائمة الحزم ومعرفات التنبيهات والخطورة
  2. تصنيف حسب الاستخدام
    لكل معتمد ضعيف، ابحث في الكود — هل يمكن الوصول إليه فعلاً؟✓ تم النسخ
    → تصنيف حسب إمكانية الوصول
  3. صياغة خطة الترقية
    خطط لترتيب الترقية بأقل مخاطر حتى لا ينكسر CI.✓ تم النسخ
    → تسلسل ترقية مرتب مع تحديد الإصدارات

النتيجة: خطة تصحيح محددة — وليس مجرد 'قم بتشغيل npm audit fix والدعاء'.

المزالق
  • تم تفويت المعتمدات الانتقالية — استخدم ملف القفل الكامل وليس فقط ملف البيانات الوصفية العالي المستوى
اجمعها مع: filesystem · github

مراجعة ملفات Terraform وk8s للأخطاء التكوينية الشائعة

👤 مهندسو المنصات وفريق DevSecOps ⏱ ~30 min intermediate

متى تستخدمه: قبل دمج تغييرات البنية كرمز في main، أو تدقيق ما هو موجود بالفعل.

الخطوات
  1. وجه Claude إلى مجلد البنية كرمز
    استخدم security-skills. امسح terraform/ عن حاويات S3 بدون تشفير و IAM wildcards ومجموعات الأمان العامة.✓ تم النسخ
    → مراجع الملف والسطر مع مستوى الخطورة
  2. احصل على الإصلاحات
    لكل اكتشاف، اقترح الفرق الأدنى في Terraform لإصلاحه.✓ تم النسخ
    → أجزاء HCL توضح قبل وبعد

النتيجة: إصلاحات أمان بحجم PR يمكنك دمجها بشكل تدريجي.

المزالق
  • موجبات خاطئة على الأصول العامة المقصودة — ضع علامات على الموارد التي هي عامة بقصد؛ يجب أن تتخطاها المهارة
اجمعها مع: github · filesystem

التركيبات

اجمعها مع خوادم MCP أخرى لتحقيق نتائج x10

security-skill + github

نشر النتائج كتعليقات PR تلقائياً

راجع هذا PR واترك تعليقات سطر لكل اكتشاف أمني.✓ تم النسخ
security-skill + filesystem

المسح العودي عبر monorepo

استكشف شجرة services/ كاملة وجمع النتائج حسب الخدمة.✓ تم النسخ

الأدوات

ما يوفره هذا الـ MCP

الأداةالمدخلاتمتى تستدعيهاالتكلفة
threat_model system description مراجعة مرحلة التصميم 0
cve_audit lockfile path بعد ظهور CVE عام 0 (uses public advisory data)
iac_review directory path تدقيق البنية كرمز قبل الدمج 0
secret_scan path or diff قبل الالتزام أو قبل الدفع 0

التكلفة والحدود

تكلفة التشغيل

حصة API
لا توجد مدمجة
الرموز لكل استدعاء
معتدل — يعتمد على الملفات المفحوصة
التكلفة المالية
مجاني
نصيحة
حدد نطاق الفحوصات على مجلدات محددة؛ لا تشير إلى node_modules.

الأمان

الصلاحيات والأسرار ونطاق الأثر

تخزين بيانات الاعتماد: لا يوجد في المهارة نفسها
نقل البيانات الخارجي: لا يوجد — المهارة عبارة عن طلبات فقط؛ لاحظ أن الكود المفحوص يذهب إلى Claude API

استكشاف الأخطاء

الأخطاء الشائعة وحلولها

المهارة تقترح تقنيات استغلال

أعد صياغة الطلب بإطار دفاعي: 'كمدافع، كيف أمنع X'

عدد كبير جداً من الموجبات الخاطئة في مسح البنية كرمز

قدم السياق (الإنتاج مقابل التجميع؛ الموارد العامة المقصودة)

تفويت ثغرة معروفة

قد يتأخر تاريخ قطع معرفة Claude. استخدم ماسح مناسب (Trivy أو Snyk) للحصول على بيانات CVE موثوقة.

البدائل

security-skills مقابل البدائل

البديلمتى تستخدمهاالمقايضة
Trivy / Grypeتحتاج إلى قاعدة بيانات ثغرات موثوقة ومحدثةلا يوجد استدلال LLM — فقط نتيجة المسح الخام
tfsec / checkovمسح محدد للبنية كرمز مع مجموعة قواعد منسقةمحدود بالقواعد؛ قد يفوت أخطاء تكوينية دقيقة

المزيد

الموارد

📖 اقرأ ملف README الرسمي على GitHub

🐙 تصفح القضايا المفتوحة

🔍 تصفح أكثر من 400 خادم MCP و Skills