andretauan/tao-security-audit
skills/pt-br/tao-security-audit/SKILL.md
Auditoria de segurança alinhada ao OWASP Top 10 com checklist para injection, XSS, autenticação, autorização, gestão de secrets e vulnerabilidades comuns. Use ao auditar segurança, revisar código de auth ou hardening de aplicação.
$ install --global
skillsauthnpx skillsauth add andretauan/tao tao-security-auditInstall this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.
Security Scan Results
3 of 9 scanners reported clean
Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.
3
Scanners Passed
9
Scanners in report
Clean
TrivyContainer and dependency vulnerability scanner
95%
Clean
SemgrepStatic code analysis for vulnerabilities
95%
Clean
mcp-scan (Snyk)Model Context Protocol security validation
95%
Skipped
Snyk (dep)Open source security scanning
50%
Skipped
Socket.devSupply chain security analysis
50%
Skipped
VirusTotalMulti-engine malware detection
50%
Skipped
CrowdStrikeAdvanced threat intelligence
50%
Skipped
OSV-ScannerOpen Source Vulnerability database check
50%
Skipped
OWASP Dep-Check
50%
Last scanned: Apr 23, 2026, 2:46 PM193.9s1 file scanned
SKILL.md
- name:
- tao-security-audit
- description:
- Auditoria de segurança alinhada ao OWASP Top 10 com checklist para injection, XSS, autenticação, autorização, gestão de secrets e vulnerabilidades comuns. Use ao auditar segurança, revisar código de auth ou hardening de aplicação.
- user-invocable:
- false
TAO Auditoria de Segurança (OWASP)
Quando usar
Use para auditorias de segurança, reviews de auth, avaliação de vulnerabilidades ou antes do deploy em produção.
Checklist OWASP Top 10
A01 — Controle de Acesso Quebrado
- [ ] Todo endpoint verifica autorização ANTES de processar
- [ ] Default deny: acesso negado a menos que explicitamente concedido
- [ ] CORS configurado com origens específicas (não
*) - [ ] Directory traversal: caminhos sanitizados (sem
../) - [ ] Rate limiting de API implementado
- [ ] Tokens JWT/sessão com expiração razoável
A02 — Falhas Criptográficas
- [ ] Senhas com hash bcrypt/argon2 (NÃO md5/sha1)
- [ ] HTTPS forçado em todo lugar
- [ ] Dados sensíveis criptografados em repouso
- [ ] Sem secrets no código fonte (use .env)
- [ ] Sem dados sensíveis em logs ou mensagens de erro
A03 — Injection
- [ ] SQL: APENAS queries parametrizadas (zero concatenação)
- [ ] NoSQL: input sanitizado antes de queries
- [ ] Command injection: sem input do usuário em comandos shell
- [ ] LDAP injection: queries LDAP parametrizadas
- [ ] Template injection: input do usuário não usado em templates
A04 — Design Inseguro
- [ ] Modelo de ameaças existe para features críticas
- [ ] Cenários de abuso de lógica de negócio considerados
- [ ] Limites de recursos previnem abuso (tamanho arquivo, qtd requests)
A05 — Configuração de Segurança Incorreta
- [ ] Modo debug OFF em produção
- [ ] Credenciais padrão alteradas
- [ ] Mensagens de erro não revelam stack traces
- [ ] Métodos HTTP desnecessários desabilitados
- [ ] Headers de segurança configurados (CSP, X-Frame, HSTS)
A06 — Componentes Vulneráveis
- [ ] Dependências sem CVEs conhecidos
- [ ] Dependências atualizadas (dentro do razoável)
- [ ] Lock files commitados (package-lock.json, poetry.lock, etc.)
A07 — Falhas de Autenticação
- [ ] Política de senha forte aplicada
- [ ] Bloqueio de conta após tentativas falhas
- [ ] Multi-fator disponível para operações sensíveis
- [ ] Invalidação de sessão no logout
- [ ] Sem exposição de credenciais em URLs
A08 — Falhas de Integridade de Dados
- [ ] Dependências vêm de fontes confiáveis
- [ ] Pipeline CI/CD tem verificações de integridade
- [ ] Serialização é segura (sem deserialização arbitrária)
A09 — Falhas de Log e Monitoramento
- [ ] Tentativas de login falhas são logadas
- [ ] Falhas de controle de acesso são logadas
- [ ] Logs não contêm dados sensíveis
- [ ] Alertas existem para padrões suspeitos
A10 — SSRF
- [ ] URLs fornecidas pelo usuário são validadas (allowlist)
- [ ] Serviços internos não acessíveis via requests do usuário
- [ ] Redirects de URL são validados
Formato de Saída
## Auditoria de Segurança — [escopo]
**Data:** AAAA-MM-DD
**Severidade:** CRÍTICA | ALTA | MÉDIA | BAIXA
### Achados
| # | Categoria | Severidade | Achado | Remediação |
|---|-----------|------------|--------|------------|
| 1 | A03 | ALTA | ... | ... |
### Resumo
- Crítica: X | Alta: X | Média: X | Baixa: X
- Veredicto: APROVADO | APROVADO CONDICIONAL | REPROVADO
Related Skills
andretauan/tao-test-strategy
testing
VerifiedTrustedCommunity
Estratégia de pirâmide de testes com análise de cobertura, identificação de edge cases e planejamento de testes. Use ao planejar testes, melhorar cobertura, identificar edge cases ou escrever especificações de teste.
18SKILL.mdUpdated Apr 23, 2026
andretauan/tao-refactoring
development
VerifiedTrustedCommunity
Metodologia de refatoração segura com detecção de code smells, transformação passo-a-passo e prevenção de regressão. Use ao refatorar código, reduzir dívida técnica ou melhorar estrutura.
18SKILL.mdUpdated Apr 23, 2026
andretauan/tao-plan-writing
testing
VerifiedTrustedCommunity
Decomposição expert de tarefas para criar PLAN.md no TAO. Quebra features em fases e tarefas com critérios de aceite, estimativas e dependências. Use ao planejar trabalho, criar fases ou decompor features.
18SKILL.mdUpdated Apr 23, 2026
andretauan/tao-performance-audit
development
VerifiedTrustedCommunity
Metodologia de análise de performance com técnicas de profiling, identificação de gargalos e padrões de otimização. Use ao auditar performance, otimizar código lento ou planejar capacidade.
18SKILL.mdUpdated Apr 23, 2026