security-audit

This skill guides you through performing comprehensive security audits on codebases to identify vulnerabilities, insecure patterns, and configuration issues. Use this when conducting security reviews, preparing for production deployments, or responding to security incidents.

Objective: Understand the application architecture, tech stack, and attack surface.

Best practice: Use crypto.timingSafeEqual() for comparing webhook signatures to prevent timing attacks:

Загружайте ПРОАКТИВНО, если задача включает проверку безопасности, оценку уязвимостей или усиление защиты. Используйте, когда пользователь говорит «проверить наличие проблем с безопасностью», «проверить на наличие уязвимостей», «поиск секретов», «проверить безопасность аутентификации» или «проверить соответствие OWASP». Охватывает аутентификацию и безопасность сеанса, авторизацию и контроль доступа, проверку ввода и предотвращение внедрения, защиту и шифрование данных, сканирование уязвимостей зависимостей, безопасность API (CORS, ограничение скорости, заголовки) и усиление инфраструктуры. Создает структурированные отчеты с рейтингами серьезности. Источник: mgd34msu/goodvibes-plugin.