code-review-security

Review every PR against the OWASP Top 10 (2021 edition). Each category below includes specific checks for Python/FastAPI and React codebases.

| eval(userinput) | Remote code execution | Remove or use ast.literaleval | | pickle.loads(data) | Arbitrary code execution | Use JSON or msgpack | | subprocess.run(cmd, shell=True) | Command injection | Pass args as list, shell=False | | yaml.load(data) | Code execution | Use yaml.safeload(data) |

| os.system(cmd) | Command injection | Use subprocess.run([...]) | | Raw SQL strings | SQL injection | Use ORM or parameterized queries | | hashlib.md5(password) | Weak hashing | Use bcrypt via passlib | | jwt.decode(token, options={"verifysignature": False}) | Auth bypass | Always verify signature |

قائمة مراجعة مراجعة التعليمات البرمجية التي تركز على الأمان وأنماط المسح الآلي. يُستخدم عند مراجعة طلبات السحب بحثًا عن مشكلات أمنية، أو تدقيق رمز المصادقة/الترخيص، أو التحقق من أهم 10 نقاط ضعف في OWASP، أو التحقق من صحة المدخلات. يغطي منع حقن SQL، وحماية XSS، ورموز CSRF، ومراجعة تدفق المصادقة، واكتشاف الأسرار، وفحص ثغرات التبعية، وأنماط الترميز الآمنة لـ Python (FastAPI) وReact. لا يغطي أمان النشر (استخدم أفضل ممارسات عامل الإرساء) أو التعامل مع الحوادث (استخدم الاستجابة للحوادث). المصدر: hieutrtr/ai1-skills.