/ Directorio / Playground / claude-code-owasp
← Todos los servidores ↗ GitHub
● Comunidad agamm ⚡ Instantáneo

claude-code-owasp

por agamm · agamm/claude-code-owasp

Mejores prácticas de OWASP integradas en Claude Code — Top 10:2025, ASVS 5.0, seguridad de IA Agentic, más 20+ particularidades específicas del lenguaje.

La Skill OWASP de Claude Code enseña a Claude a pensar como un revisor de seguridad. Carga orientación OWASP Top 10:2025, estándares de verificación ASVS 5.0, la nueva orientación de seguridad de IA Agentic, y 20+ secciones específicas del lenguaje (JS/TS, Python, Rust, Go, Java, Ruby, etc.). Ideal para autorrevisión previa a commit, revisión de PR, y sesiones de modelado de amenazas.

▶ Ver demo 📦 Instalar 💡 Casos de uso

Por qué usarlo

Características clave

Demo en vivo

Cómo se ve en la práctica

claude-code-owasp-skill.replay ▶ listo
0/0

Instalar

Elige tu cliente

~/Library/Application Support/Claude/claude_desktop_config.json  · Windows: %APPDATA%\Claude\claude_desktop_config.json
{
  "mcpServers": {
    "claude-code-owasp-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/agamm/claude-code-owasp",
        "~/.claude/skills/claude-code-owasp"
      ],
      "_inferred": true
    }
  }
}

Abre Claude Desktop → Settings → Developer → Edit Config. Reinicia después de guardar.

~/.cursor/mcp.json · .cursor/mcp.json
{
  "mcpServers": {
    "claude-code-owasp-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/agamm/claude-code-owasp",
        "~/.claude/skills/claude-code-owasp"
      ],
      "_inferred": true
    }
  }
}

Cursor usa el mismo esquema mcpServers que Claude Desktop. La configuración del proyecto prevalece sobre la global.

VS Code → Cline → MCP Servers → Edit
{
  "mcpServers": {
    "claude-code-owasp-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/agamm/claude-code-owasp",
        "~/.claude/skills/claude-code-owasp"
      ],
      "_inferred": true
    }
  }
}

Haz clic en el icono MCP Servers de la barra lateral de Cline y luego en "Edit Configuration".

~/.codeium/windsurf/mcp_config.json
{
  "mcpServers": {
    "claude-code-owasp-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/agamm/claude-code-owasp",
        "~/.claude/skills/claude-code-owasp"
      ],
      "_inferred": true
    }
  }
}

Mismo formato que Claude Desktop. Reinicia Windsurf para aplicar.

~/.continue/config.json
{
  "mcpServers": [
    {
      "name": "claude-code-owasp-skill",
      "command": "git",
      "args": [
        "clone",
        "https://github.com/agamm/claude-code-owasp",
        "~/.claude/skills/claude-code-owasp"
      ]
    }
  ]
}

Continue usa un array de objetos de servidor en lugar de un mapa.

~/.config/zed/settings.json
{
  "context_servers": {
    "claude-code-owasp-skill": {
      "command": {
        "path": "git",
        "args": [
          "clone",
          "https://github.com/agamm/claude-code-owasp",
          "~/.claude/skills/claude-code-owasp"
        ]
      }
    }
  }
}

Añádelo a context_servers. Zed recarga en caliente al guardar.

claude mcp add claude-code-owasp-skill -- git clone https://github.com/agamm/claude-code-owasp ~/.claude/skills/claude-code-owasp

Un solo comando. Verifica con claude mcp list. Quita con claude mcp remove.

Casos de uso

Usos del mundo real: claude-code-owasp

Cómo revisar la seguridad de un PR considerando el OWASP Top 10

👤 Desarrolladores realizando autorrevisión antes de solicitar revisión humana ⏱ ~20 min intermediate

Cuándo usarlo: Antes de hacer clic en 'Listo para revisión' en un PR que afecte autenticación, datos o manejo de entrada.

Requisitos previos
  • Skill instalada — git clone https://github.com/agamm/claude-code-owasp ~/.claude/skills/claude-code-owasp
Flujo
  1. Señala el diff
    Revisa el PR actual contra el OWASP Top 10:2025. Enfócate en autenticación y manejo de entrada.✓ Copiado
    → Hallazgos asignados a categorías Top 10 con referencias de línea
  2. Prioriza
    Agrupa hallazgos en 'debe corregirse antes de fusionar' frente a 'problema de seguimiento'. Cita el requisito ASVS específico.✓ Copiado
    → Lista clasificada con IDs ASVS
  3. Genera correcciones
    Para cada corrección obligatoria, propón el diff mínimo.✓ Copiado
    → Diffs de parches asociados a hallazgos

Resultado: Un PR que se lance con problemas de seguridad conocidos resueltos, con requisitos trazables.

Errores comunes
  • Falsa alarma excesiva en patrones benignos — Pide a Claude que muestre el camino de explotación de forma concreta; si no puede, reduce la gravedad.

Ejecuta un modelado de amenazas ligero en una nueva característica

👤 Ingenieros que diseñan características que involucran datos de usuario ⏱ ~40 min advanced

Cuándo usarlo: Etapa de diseño, antes de escribir el código, cuando el radio de impacto aún es negociable.

Flujo
  1. Describe la característica
    Característica: compartir por enlace para informes de clientes. Los usuarios generan URLs tokenizadas válidas 7 días. Modelado de amenazas con orientación OWASP de IA Agentic incluida.✓ Copiado
    → Lista de amenazas estilo STRIDE
  2. Elige controles
    ¿Para cada amenaza, cuál es el control más barato que mitiga el 80%?✓ Copiado
    → Control por amenaza + justificación de rechazo de los costosos

Resultado: Un documento de modelado de amenazas que puedas adjuntar al documento de diseño.

Errores comunes
  • Lista de controles sobreingeniería — Limita explícitamente a las 5 amenazas principales por probabilidad × impacto

Fortalece una integración de agente de IA contra inyección de prompt

👤 Ingenieros que entregan características impulsadas por Claude/LLM ⏱ ~30 min advanced

Cuándo usarlo: Estás a punto de permitir que un LLM acceda a datos de usuario o llame a herramientas.

Flujo
  1. Describe la superficie del agente
    Nuestro agente lee correos de soporte y puede llamar a 3 herramientas: refund(), tag_account(), escalate(). Revisa para riesgos de IA Agentic.✓ Copiado
    → Vectores de inyección de prompt, riesgos de mal uso de herramientas, caminos de exfiltración de datos
  2. Diseña barreras de protección
    Propón un conjunto mínimo de barreras: qué herramientas necesitan confirmación humana, qué entradas necesitan sanitización, qué registro es necesario.✓ Copiado
    → Especificación concreta de barreras

Resultado: Un diseño de agente endurecido con barreras documentadas.

Errores comunes
  • Depender solo de defensas basadas en prompt — Combina con controles determinísticos — bucle humano para herramientas destructivas, listas blancas para URLs

Audita particularidades de seguridad específicas del lenguaje

👤 Revisores que verifican una base de código en un lenguaje que no conocen profundamente ⏱ ~15 min intermediate

Cuándo usarlo: Estás revisando código Python como nativo de TS, o viceversa.

Flujo
  1. Limita al lenguaje
    Revisa este módulo Python para particularidades OWASP específicas de Python (pickle, yaml.load, shell=True, etc.).✓ Copiado
    → Hallazgos específicos del lenguaje más allá del Top 10 genérico

Resultado: Detecta lo que una revisión agnóstica del lenguaje pasaría por alto.

Combinaciones

Combínalo con otros MCPs para multiplicar por 10

claude-code-owasp-skill + claude-code-skill-factory-skill

Skill Factory conecta verificaciones OWASP como hooks PreToolUse para control automático

Usa el hook /build de skill-factory para ejecutar revisión OWASP en cada llamada de herramienta Write en nuestro repo.✓ Copiado
claude-code-owasp-skill + seo-audit-skill

Solapamiento en encabezados de seguridad

Ejecuta la categoría de seguridad seo-audit, luego una revisión OWASP más profunda en los resultados.✓ Copiado
claude-code-owasp-skill + robotics-agent-skill

Redes ROS seguras (rosbridge, Zenoh)

La Skill Robotics produjo un websocket rosbridge — ejecuta una revisión OWASP en él.✓ Copiado

Herramientas

Lo que expone este MCP

HerramientaEntradasCuándo llamarCoste
Top 10:2025 review diff o archivos autorrevisión de PR tokens de Claude
ASVS requirement check especificación de característica trabajo de cumplimiento tokens de Claude
Agentic AI threat model diseño de agente entrega de características de LLM tokens de Claude
Language-specific audit lenguaje, archivos revisión entre lenguajes tokens de Claude
Threat model (STRIDE) descripción de característica fase de diseño tokens de Claude

Coste y límites

Lo que cuesta ejecutarlo

Cuota de API
Ninguno
Tokens por llamada
5-20k por revisión según el tamaño del código
Monetario
Gratis
Consejo
Limita las revisiones a archivos cambiados, no a todo el repo.

Seguridad

Permisos, secretos, alcance

Almacenamiento de credenciales: Sin credenciales
Salida de datos: El código se envía a Claude para realizar inferencia

Resolución de problemas

Errores comunes y soluciones

Claude ignora el contexto OWASP y da consejos genéricos

Nombra explícitamente la orientación: 'Aplica la categoría OWASP Top 10:2025 A03:2025 de Inyección aquí.'

Demasiados falsos positivos

Requiere un recorrido de explotación antes de aceptar un hallazgo

Alternativas

claude-code-owasp vs otros

AlternativaCuándo usarlaContrapartida
Semgrep / SnykDeseas análisis estático determinístico en CIFortalezas diferentes; combina ambas

Más

Recursos

📖 Lee el README oficial en GitHub

🐙 Ver issues abiertas

🔍 Ver todos los 400+ servidores MCP y Skills