Trail of Bits Skills

Name: Trail of Bits Skills (Claude Skill)
Author: trailofbits

لماذا تستخدمه

الميزات الأساسية

كُتِب بواسطة شركة أمن لا هاوٍ — الأنماط تعكس حوادث حقيقية
يغطي C/C++ وRust وSolidity وPython وGo وTypeScript
دفاعي فقط: تدفقات تدقيق ومراجعة، لا أدوات هجومية
معياري — اسحب مهارات فردية دون تبني الحزمة كاملة
مرخَّص CC-BY-SA-4.0، يستلزم الإسناد

عرض مباشر

كيف يبدو في الممارسة

جاهز

التثبيت

اختر العميل

~/Library/Application Support/Claude/claude_desktop_config.json · Windows: %APPDATA%\Claude\claude_desktop_config.json

{
  "mcpServers": {
    "trailofbits-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/trailofbits/skills",
        "~/.claude/skills/skills"
      ],
      "_inferred": true
    }
  }
}

افتح Claude Desktop → Settings → Developer → Edit Config. أعد التشغيل بعد الحفظ.

~/.cursor/mcp.json · .cursor/mcp.json

{
  "mcpServers": {
    "trailofbits-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/trailofbits/skills",
        "~/.claude/skills/skills"
      ],
      "_inferred": true
    }
  }
}

يستخدم Cursor نفس مخطط mcpServers مثل Claude Desktop. إعدادات المشروع أولى من الإعدادات العامة.

VS Code → Cline → MCP Servers → Edit

{
  "mcpServers": {
    "trailofbits-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/trailofbits/skills",
        "~/.claude/skills/skills"
      ],
      "_inferred": true
    }
  }
}

انقر على أيقونة MCP Servers في شريط Cline الجانبي، ثم "Edit Configuration".

~/.codeium/windsurf/mcp_config.json

{
  "mcpServers": {
    "trailofbits-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/trailofbits/skills",
        "~/.claude/skills/skills"
      ],
      "_inferred": true
    }
  }
}

نفس الصيغة مثل Claude Desktop. أعد تشغيل Windsurf لتطبيق التغييرات.

~/.continue/config.json

{
  "mcpServers": [
    {
      "name": "trailofbits-skill",
      "command": "git",
      "args": [
        "clone",
        "https://github.com/trailofbits/skills",
        "~/.claude/skills/skills"
      ]
    }
  ]
}

يستخدم Continue مصفوفة من كائنات الخادم بدلاً من خريطة.

~/.config/zed/settings.json

{
  "context_servers": {
    "trailofbits-skill": {
      "command": {
        "path": "git",
        "args": [
          "clone",
          "https://github.com/trailofbits/skills",
          "~/.claude/skills/skills"
        ]
      }
    }
  }
}

أضف إلى context_servers. يعيد Zed التحميل تلقائيًا عند الحفظ.

claude mcp add trailofbits-skill -- git clone https://github.com/trailofbits/skills ~/.claude/skills/skills

أمر من سطر واحد. تحقق باستخدام claude mcp list. احذف باستخدام claude mcp remove.

حالات الاستخدام

استخدامات عملية: Trail of Bits Skills

أضف مراجعة أمنية لكل PR

👤 الفرق بلا مهندس أمن مخصص ⏱ ~30 min intermediate

متى تستخدمه: PRs-ك تنتقل حاليًا مباشرةً من مراجعة الكود إلى الدمج — بلا عيون أمنية.

المتطلبات الأساسية

المهارات مثبَّتة — git clone https://github.com/trailofbits/skills ~/.claude/skills/trailofbits

الخطوات

تحديد نطاق الـ diff

استخدم مهارة trailofbits/pr-review على PR الحالي. أدرج الملفات التي تراها المهارة ذات صلة أمنيًا مع الأسباب.✓ تم النسخ

→ أسباب صلة ملموسة لكل ملف
المراجعة العميقة

لكل ملف مُعلَّم، شغّل مهارة النطاق المناسبة (تشفير، التحقق من المدخلات، مصادقة). أبلغ عن النتائج مع الخطورة.✓ تم النسخ

→ قائمة مرتبة حسب الخطورة مع مراجع الكود
الملخص للمراجع

اكتب تعليق PR من 5 نقاط يلخّص النتائج، غير مخيف لكن دقيق.✓ تم النسخ

→ ملخص مناسب للمراجع مع استشهادات سطر دقيقة

النتيجة: تعليق مراجعة أمنية على كل PR يصطاد مشكلات حقيقية دون إغراقك في إيجابيات كاذبة.

المزالق

المهارة تُعلّم مشكلات أسلوب كمشكلات أمن — اضبط بالـ prompt: «ركّز على المشكلات القابلة للاستغلال فقط»

اجمعها مع: github · filesystem

تدقيق مسارات كود التشفير في خدمة

👤 المطورون المسؤولون عن كود المصادقة/التشفير ⏱ ~90 min advanced

متى تستخدمه: لديك طبقة JWT/HMAC/تشفير وتريد من شخص متمكّن التحقق منها.

الخطوات

البحث عن التشفير

استخدم trailofbits/crypto-review. امسح /src بحثًا عن ملفات تلمس APIs التشفير. أبلغ عنها.✓ تم النسخ

→ جرد مواقع استدعاء التشفير
تدقيق كل موقع

لكل موقع: ما الخوارزمية؟ إدارة المفاتيح؟ خطر إعادة استخدام Nonce؟ التعامل مع IV؟ استشهد بالمصدر.✓ تم النسخ

→ تدقيق لكل موقع مع مراجع الكود
خطة المعالجة

لأي نتيجة متوسطة أو أعلى، أنشئ معالجةً — تغيير كود ملموس، لا «فكّر في استخدام...».✓ تم النسخ

→ diffs قابلة للتطبيق لا نصائح مبهمة

النتيجة: تقرير تدقيق تشفير مع إصلاحات ملموسة، من خط أساس الأخطاء الشائعة التي رأتها ToB في تعاملات حقيقية.

المزالق

ليس بديلًا عن تدقيق حقيقي — استخدم للمراجعة الذاتية؛ وظّف محترفين قبل إطلاق أسطح عالية القيمة

اجمعها مع: github

التركيبات

اجمعها مع خوادم MCP أخرى لتحقيق نتائج x10

trailofbits-skill + github

انشر النتائج كتعليق مراجعة PR

انشر المراجعة كتعليق PR — الخطورات كتصنيفات.✓ تم النسخ

trailofbits-skill + filesystem

امسح المستودع بالكامل بلا اتصال

شغّل الفحص الأمني الكامل عبر /src واكتب التقرير في /audit/report.md.✓ تم النسخ

الأدوات

ما يوفره هذا الـ MCP

الأداة	المدخلات	متى تستدعيها
scope_review	diff\|path	قبل التعمق
crypto_review	path	كود التشفير تحديدًا
input_validation_review	path	كود API/الحدود
iac_review	path	Terraform / CloudFormation / K8s manifests

التكلفة والحدود

تكلفة التشغيل

حصة API: N/A
الرموز لكل استدعاء: المراجعة قراءة مكثفة؛ الميزانية تتناسب مع حجم الـ diff
التكلفة المالية: مجاني (CC-BY-SA)
نصيحة: حدّد النطاق أولًا — لا تُشغّل مهارات عميقة على ملفات غير ذات صلة

الأمان

الصلاحيات والأسرار ونطاق الأثر

الحد الأدنى من الصلاحيات: filesystem-read

تخزين بيانات الاعتماد: لا شيء

نقل البيانات الخارجي: لا شيء من المهارة؛ الكود المراجَع في سياق LLM-ك

لا تمنح أبدًا: write access unless auto-remediating

ليس بديلًا عن تدقيق أمني رسمي — استخدمه لاصطياد الواضح قبل دفع أجر الخبراء

استكشاف الأخطاء

الأخطاء الشائعة وحلولها

المهارة تُعلّم كودًا آمنًا كثغرة

اطلب المبرر؛ إن كان ضعيفًا، ارفضه بسبب. التضبيط يتحسن عبر الجلسات.

تفوت أخطاء واضحة

المهارة تُقنّن أنماط Trail of Bits — إن كانت مكدستك غير معتادة (مثلًا Rust crate نادر)، قد تفوّت. أضف أنماطًا مخصصة.

المخرجات طويلة جدًا للمراجعة

قيّد: «أعلى 5 نتائج خطورةً فقط»

البدائل