code-review-security

Review every PR against the OWASP Top 10 (2021 edition). Each category below includes specific checks for Python/FastAPI and React codebases.

| eval(userinput) | Remote code execution | Remove or use ast.literaleval | | pickle.loads(data) | Arbitrary code execution | Use JSON or msgpack | | subprocess.run(cmd, shell=True) | Command injection | Pass args as list, shell=False | | yaml.load(data) | Code execution | Use yaml.safeload(data) |

| os.system(cmd) | Command injection | Use subprocess.run([...]) | | Raw SQL strings | SQL injection | Use ORM or parameterized queries | | hashlib.md5(password) | Weak hashing | Use bcrypt via passlib | | jwt.decode(token, options={"verifysignature": False}) | Auth bypass | Always verify signature |

Контрольный список проверки кода, ориентированный на безопасность, и шаблоны автоматического сканирования. Используйте при проверке запросов на включение на предмет проблем безопасности, аудита кода аутентификации/авторизации, проверки на наличие уязвимостей из топ-10 OWASP или проверки очистки входных данных. Охватывает предотвращение SQL-инъекций, защиту XSS, токены CSRF, проверку потока аутентификации, обнаружение секретов, сканирование уязвимостей зависимостей и шаблоны безопасного кодирования для Python (FastAPI) и React. НЕ охватывает безопасность развертывания (используйте лучшие практики Docker) или обработку инцидентов (используйте реагирование на инциденты). Источник: hieutrtr/ai1-skills.