security-audit

This skill guides you through performing comprehensive security audits on codebases to identify vulnerabilities, insecure patterns, and configuration issues. Use this when conducting security reviews, preparing for production deployments, or responding to security incidents.

Objective: Understand the application architecture, tech stack, and attack surface.

Best practice: Use crypto.timingSafeEqual() for comparing webhook signatures to prevent timing attacks:

Carica in modo PROATTIVO quando l'attività prevede la revisione della sicurezza, la valutazione della vulnerabilità o il rafforzamento. Da utilizzare quando l'utente dice "verifica problemi di sicurezza", "verifica vulnerabilità", "cerca segreti", "esamina sicurezza autenticazione" o "controlla conformità OWASP". Copre l'autenticazione e la sicurezza delle sessioni, l'autorizzazione e il controllo degli accessi, la convalida dell'input e la prevenzione dell'iniezione, la protezione e la crittografia dei dati, la scansione delle vulnerabilità delle dipendenze, la sicurezza delle API (CORS, limitazione della velocità, intestazioni) e il rafforzamento dell'infrastruttura. Produce report strutturati con valutazioni di gravità. Fonte: mgd34msu/goodvibes-plugin.