کدنویسیاسکیل
امنیت نرمافزار
این اسکیل برای بررسی امنیت کد و پیدا کردن آسیبپذیریها استفاده میشود.
متن پرامپت
نصب
bash
npx skills add https://github.com/github/awesome-copilot --skill security-reviewمعرفی
این اسکیل برای بررسی امنیت کد و پیدا کردن آسیبپذیریها استفاده میشود. مانند یک متخصص امنیت، جریان دادهها، ارتباط بین فایلها و منطق برنامه را بررسی میکند تا مشکلاتی که ابزارهای ساده اسکن کد پیدا نمیکنند شناسایی شوند.
کاربردها
- بررسی امنیت یک فایل یا کل پروژه
- پیدا کردن آسیبپذیریهای رایج
- بررسی اطلاعات حساس و رمزها در کد
- بررسی امنیت احراز هویت و سطح دسترسی
- تحلیل وابستگیها و CVEهای شناختهشده
- بررسی جریان ورود داده کاربر تا نقاط خطرناک
روند بررسی امنیت
۱. تعیین محدوده بررسی
ابتدا مشخص میشود:
- کدام فایلها یا پوشهها بررسی شوند.
- زبان و فریمورک پروژه چیست.
- الگوهای امنیتی مخصوص آن زبان بارگذاری شوند.
۲. بررسی وابستگیها
بررسی پکیجها برای:
- آسیبپذیریهای شناختهشده (CVE)
- کتابخانههای قدیمی یا ناامن
- استفاده از الگوریتمهای رمزنگاری ضعیف
نمونه فایلهای بررسی:
- package.json
- requirements.txt
- pom.xml
- Cargo.toml
- go.mod
۳. بررسی اطلاعات حساس
جستجو برای:
- API Key و Token
- رمز عبورهای ذخیرهشده در کد
- کلیدهای خصوصی
- اطلاعات اتصال دیتابیس
- فایلهای
.envمنتشرشده - اطلاعات ابری مانند AWS و Azure
۴. اسکن آسیبپذیریها
بررسی مواردی مانند:
| دسته | نمونه مشکل |
|---|---|
| Injection | SQL Injection، XSS، Command Injection |
| احراز هویت | ضعف JWT، نبود کنترل دسترسی، دور زدن لاگین |
| دادهها | اطلاعات حساس در لاگ، رمزنگاری ناقص |
| رمزنگاری | MD5، SHA1، Random ضعیف |
| منطق کسبوکار | Race Condition، نبود محدودیت درخواست |
تحلیل جریان داده
اسکیل فقط الگوها را بررسی نمیکند؛ مسیر داده را دنبال میکند:
ورودی کاربر → پردازش برنامه → بخش حساس
مثلاً بررسی میکند آیا داده ورودی کاربر بدون اعتبارسنجی به دیتابیس، فایل یا HTML منتقل شده است یا خیر.
اعتبارسنجی نتایج
برای کاهش خطا:
- هر مشکل دوباره بررسی میشود.
- مواردی که واقعاً قابل سوءاستفاده نیستند حذف میشوند.
- سطح خطر مشخص میشود.
سطحبندی مشکلات
| سطح | توضیح |
|---|---|
| 🔴 Critical | خطر فوری مانند SQL Injection یا اجرای کد از راه دور |
| 🟠 High | آسیب جدی مانند XSS یا لو رفتن Secret |
| 🟡 Medium | مشکل قابل سوءاستفاده در شرایط خاص |
| 🔵 Low | ضعف استانداردهای امنیتی |
| ⚪ Info | نکته قابل توجه ولی بدون خطر مستقیم |
خروجی گزارش
گزارش شامل:
- خلاصه تعداد مشکلات بر اساس شدت
- محل دقیق مشکل (فایل و خط)
- کد آسیبپذیر
- توضیح ساده خطر برای کسبوکار
- میزان اطمینان از یافته
- پیشنهاد اصلاح کد
قوانین اصلاح کد
- هیچ تغییری خودکار اعمال نمیشود.
- اصلاحات پیشنهادی فقط برای بررسی انسانی ارائه میشوند.
- برای مشکلات مهم، کد قبل و بعد از اصلاح نمایش داده میشود.
خروجی نهایی
- گزارش کامل امنیتی
- لیست آسیبپذیریها
- پیشنهاد رفع مشکل
- بررسی وابستگیها
- بررسی Secretها و اطلاعات حساس