Adoption

Agent Skills are supported by leading AI development tools.

VS Code Gemini CLI GitHub Goose Amp Cursor Claude Code Letta OpenCode Claude OpenAI Codex Factory VS Code Gemini CLI GitHub Goose Amp Cursor Claude Code Letta OpenCode Claude OpenAI Codex Factory

tarrragon/security-review

Name: security-review
Author: tarrragon

skills/security-review/SKILL.md

npx skillsauth add tarrragon/claude security-review

Clean

TrivyContainer and dependency vulnerability scanner

Clean

SemgrepStatic code analysis for vulnerabilities

Clean

mcp-scan (Snyk)Model Context Protocol security validation

Skipped

Snyk (dep)Open source security scanning

Skipped

Socket.devSupply chain security analysis

Skipped

VirusTotalMulti-engine malware detection

Skipped

CrowdStrikeAdvanced threat intelligence

Skipped

OSV-ScannerOpen Source Vulnerability database check

Skipped

OWASP Dep-Check

Security Review（Flutter/Dart）

Flutter/Dart 專案的安全審查快速指引。本 Skill 提供安全檢查清單和核心原則，詳細程式碼範例請參考 references/flutter-security-patterns.md。

適用場景

實作認證或授權功能
處理使用者輸入（表單、掃描結果）
使用 API Key 或其他機密
整合第三方 API（Google Books、Dio 等）
儲存或傳輸敏感資料
管理裝置權限（相機、儲存）
準備 Release 建置或上架

1. 機密管理

原則：機密不可出現在原始碼或版本控制中。

檢查清單

[ ] 無硬編碼 API Key、Token、密碼
[ ] 機密透過 --dart-define 或 .env 注入
[ ] .env、*.keystore、key.properties 已加入 .gitignore
[ ] google-services.json / GoogleService-Info.plist 已加入 .gitignore
[ ] Git 歷史中無機密洩漏

核心模式

// 正確：建置時注入
const apiKey = String.fromEnvironment('API_KEY', defaultValue: '');

// 錯誤：硬編碼
const apiKey = 'sk-proj-xxxxx'; // 禁止

詳細範例：references/flutter-security-patterns.md 第 1 節

2. 輸入驗證

原則：所有使用者輸入在處理前必須驗證和清理。

檢查清單

[ ] 所有表單欄位有 validator
[ ] 設定 maxLength 限制輸入長度
[ ] 使用白名單驗證（非黑名單）
[ ] 掃描結果（ISBN barcode）已清理非預期字元
[ ] 錯誤訊息不洩漏技術細節

核心模式

// 表單驗證
TextFormField(
  validator: (value) {
    if (value == null || value.trim().isEmpty) return '必填';
    if (value.length > maxLength) return '超過長度限制';
    return null;
  },
  inputFormatters: [
    FilteringTextInputFormatter.deny(RegExp(r'[<>{}]')),
  ],
)

詳細範例：references/flutter-security-patterns.md 第 2 節

3. 本地資料安全

原則：敏感資料使用加密儲存，一般偏好設定可用明文。

檢查清單

[ ] 機密資料使用 flutter_secure_storage（非 SharedPreferences）
[ ] SQLite 查詢使用參數化（? 佔位符）
[ ] 無 SQL 字串拼接
[ ] SharedPreferences 中無 Token、密碼、個資

核心模式

// 正確：參數化查詢
await db.rawQuery('SELECT * FROM books WHERE title LIKE ?', ['%$query%']);

// 錯誤：字串拼接（SQL 注入）
await db.rawQuery("SELECT * FROM books WHERE title LIKE '%$query%'");

儲存選擇指引

| 資料類型 | 儲存方式 | |---------|---------| | Token、密碼、API Key | flutter_secure_storage | | 使用者偏好（主題、語言） | SharedPreferences | | 結構化業務資料 | sqflite（參數化查詢） | | 暫存檔案 | path_provider 暫存目錄 |

詳細範例：references/flutter-security-patterns.md 第 3 節

4. 網路安全

原則：所有網路通訊使用 HTTPS，驗證回應結構。

檢查清單

[ ] 所有 API 端點使用 HTTPS
[ ] 設定合理的連線逾時（connectTimeout、receiveTimeout）
[ ] API 回應結構已驗證（型別檢查）
[ ] Token 透過攔截器注入（非手動拼接）
[ ] 401 回應時清除本地 Token

核心模式

// Dio 安全配置
final dio = Dio(BaseOptions(
  baseUrl: 'https://api.example.com', // HTTPS only
  connectTimeout: const Duration(seconds: 10),
  receiveTimeout: const Duration(seconds: 15),
));

// 攔截器注入 Token
dio.interceptors.add(InterceptorsWrapper(
  onRequest: (options, handler) async {
    final token = await storage.readToken();
    if (token != null) {
      options.headers['Authorization'] = 'Bearer $token';
    }
    handler.next(options);
  },
));

詳細範例：references/flutter-security-patterns.md 第 4 節

5. 權限管理

原則：僅請求必要權限，在需要時才請求，並說明用途。

檢查清單

[ ] 僅宣告實際需要的權限（AndroidManifest / Info.plist）
[ ] 權限在使用前才請求（非啟動時全部請求）
[ ] iOS Info.plist 每個權限有用途說明字串
[ ] 處理「永久拒絕」狀態（引導到系統設定）
[ ] 權限被拒時提供替代方案或提示

核心模式

// 按需請求，處理各種狀態
Future<bool> requestCameraPermission() async {
  final status = await Permission.camera.status;
  if (status.isGranted) return true;
  if (status.isDenied) {
    final result = await Permission.camera.request();
    return result.isGranted;
  }
  if (status.isPermanentlyDenied) {
    await openAppSettings();
    return false;
  }
  return false;
}

詳細範例：references/flutter-security-patterns.md 第 5 節

6. 認證與授權

原則：Token 安全儲存，過期自動處理，敏感操作前驗證狀態。

檢查清單

[ ] Token 使用 flutter_secure_storage 儲存
[ ] Token 過期有自動更新機制
[ ] 登出時清除所有本地 Token
[ ] 敏感操作前驗證使用者認證狀態
[ ] Refresh Token 失敗時跳轉登入頁面

詳細範例：references/flutter-security-patterns.md 第 6 節

7. 依賴安全

原則：定期檢查依賴漏洞，鎖定版本確保可重現建置。

檢查清單

[ ] flutter pub audit 無已知漏洞
[ ] flutter pub outdated 定期執行
[ ] pubspec.lock 已提交到版本控制
[ ] 依賴版本有合理約束（使用 ^ 語法）
[ ] CI/CD 使用 --enforce-lockfile 確保一致性

核心指令

flutter pub audit        # 檢查已知漏洞
flutter pub outdated     # 檢查過時套件
flutter pub upgrade      # 更新依賴

詳細範例：references/flutter-security-patterns.md 第 7 節

8. 敏感資料外洩防護

原則：日誌不含敏感資料，錯誤訊息不洩漏技術細節。

檢查清單

[ ] 日誌中無 Token、密碼、個人資料
[ ] 使用者看到的錯誤訊息為通用文字（透過 i18n / ErrorHandler）
[ ] 技術細節僅記錄到開發日誌（kDebugMode 判斷）
[ ] Release 建置不輸出除錯日誌
[ ] Stack Trace 不暴露給使用者

核心模式

// 正確：Release 模式下不輸出日誌
if (kDebugMode) {
  debugPrint('API Error: ${error.runtimeType}');
}

// 正確：使用 ErrorHandler 轉換錯誤訊息
final userMessage = ErrorHandler.getUserMessage(exception);

// 錯誤：直接暴露技術細節
// showError('Database error: $sqlException at line 42');

詳細範例：references/flutter-security-patterns.md 第 8 節

上架前安全檢查清單

Release 建置或上架前，逐項確認：

[ ] 機密：無硬編碼機密，全部透過環境變數注入
[ ] 輸入驗證：所有使用者輸入已驗證
[ ] SQL 注入：所有查詢參數化
[ ] 本地儲存：敏感資料使用加密儲存
[ ] HTTPS：所有網路通訊使用 HTTPS
[ ] 權限：僅宣告必要權限，有用途說明
[ ] 認證：Token 安全儲存和自動更新
[ ] 日誌：Release 建置無敏感資料輸出
[ ] 依賴：flutter pub audit 無漏洞
[ ] 錯誤處理：使用者看不到技術細節
[ ] ProGuard/R8：Android Release 啟用程式碼混淆
[ ] App Transport Security：iOS 已正確設定

參考資源

Flutter Security Best Practices
OWASP Mobile Top 10
OWASP Mobile Application Security
詳細程式碼範例：references/flutter-security-patterns.md

Last Updated: 2026-03-02 Version: 1.0.0

tarrragon/security-review

skills/security-review/SKILL.md

Performs security review for Flutter/Dart code. Use when implementing authentication, handling user input, working with API keys or secrets, managing permissions, storing sensitive data locally, or integrating third-party APIs. Provides Flutter-specific security checklists and patterns.

1 stars

development

Updated Apr 20, 2026

$ install --global

skillsauth

npx skillsauth add tarrragon/claude security-review

Install this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.

Security Scan Results

3 of 9 scanners reported clean

Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.

Scanners Passed

Scanners in report

Clean

TrivyContainer and dependency vulnerability scanner

95%

Clean

SemgrepStatic code analysis for vulnerabilities

95%

Clean

mcp-scan (Snyk)Model Context Protocol security validation

95%

Skipped

Snyk (dep)Open source security scanning

50%

Skipped

Socket.devSupply chain security analysis

50%

Skipped

VirusTotalMulti-engine malware detection

50%

Skipped

CrowdStrikeAdvanced threat intelligence

50%

Skipped

OSV-ScannerOpen Source Vulnerability database check

50%

Skipped

OWASP Dep-Check

50%

Last scanned: Apr 20, 2026, 4:33 AM32.6s2 files scanned

SKILL.md

name:: security-review
description:: Performs security review for Flutter/Dart code. Use when implementing authentication, handling user input, working with API keys or secrets, managing permissions, storing sensitive data locally, or integrating third-party APIs. Provides Flutter-specific security checklists and patterns.

Security Review（Flutter/Dart）

Flutter/Dart 專案的安全審查快速指引。本 Skill 提供安全檢查清單和核心原則，詳細程式碼範例請參考 references/flutter-security-patterns.md。

適用場景

實作認證或授權功能
處理使用者輸入（表單、掃描結果）
使用 API Key 或其他機密
整合第三方 API（Google Books、Dio 等）
儲存或傳輸敏感資料
管理裝置權限（相機、儲存）
準備 Release 建置或上架

1. 機密管理

原則：機密不可出現在原始碼或版本控制中。

檢查清單

[ ] 無硬編碼 API Key、Token、密碼
[ ] 機密透過 --dart-define 或 .env 注入
[ ] .env、*.keystore、key.properties 已加入 .gitignore
[ ] google-services.json / GoogleService-Info.plist 已加入 .gitignore
[ ] Git 歷史中無機密洩漏

核心模式

// 正確：建置時注入
const apiKey = String.fromEnvironment('API_KEY', defaultValue: '');

// 錯誤：硬編碼
const apiKey = 'sk-proj-xxxxx'; // 禁止

詳細範例：references/flutter-security-patterns.md 第 1 節

2. 輸入驗證

原則：所有使用者輸入在處理前必須驗證和清理。

檢查清單

[ ] 所有表單欄位有 validator
[ ] 設定 maxLength 限制輸入長度
[ ] 使用白名單驗證（非黑名單）
[ ] 掃描結果（ISBN barcode）已清理非預期字元
[ ] 錯誤訊息不洩漏技術細節

核心模式

// 表單驗證
TextFormField(
  validator: (value) {
    if (value == null || value.trim().isEmpty) return '必填';
    if (value.length > maxLength) return '超過長度限制';
    return null;
  },
  inputFormatters: [
    FilteringTextInputFormatter.deny(RegExp(r'[<>{}]')),
  ],
)

詳細範例：references/flutter-security-patterns.md 第 2 節

3. 本地資料安全

原則：敏感資料使用加密儲存，一般偏好設定可用明文。

檢查清單

[ ] 機密資料使用 flutter_secure_storage（非 SharedPreferences）
[ ] SQLite 查詢使用參數化（? 佔位符）
[ ] 無 SQL 字串拼接
[ ] SharedPreferences 中無 Token、密碼、個資

核心模式

// 正確：參數化查詢
await db.rawQuery('SELECT * FROM books WHERE title LIKE ?', ['%$query%']);

// 錯誤：字串拼接（SQL 注入）
await db.rawQuery("SELECT * FROM books WHERE title LIKE '%$query%'");

儲存選擇指引

詳細範例：references/flutter-security-patterns.md 第 3 節

4. 網路安全

原則：所有網路通訊使用 HTTPS，驗證回應結構。

檢查清單

[ ] 所有 API 端點使用 HTTPS
[ ] 設定合理的連線逾時（connectTimeout、receiveTimeout）
[ ] API 回應結構已驗證（型別檢查）
[ ] Token 透過攔截器注入（非手動拼接）
[ ] 401 回應時清除本地 Token

核心模式

// Dio 安全配置
final dio = Dio(BaseOptions(
  baseUrl: 'https://api.example.com', // HTTPS only
  connectTimeout: const Duration(seconds: 10),
  receiveTimeout: const Duration(seconds: 15),
));

// 攔截器注入 Token
dio.interceptors.add(InterceptorsWrapper(
  onRequest: (options, handler) async {
    final token = await storage.readToken();
    if (token != null) {
      options.headers['Authorization'] = 'Bearer $token';
    }
    handler.next(options);
  },
));

詳細範例：references/flutter-security-patterns.md 第 4 節

5. 權限管理

原則：僅請求必要權限，在需要時才請求，並說明用途。

檢查清單

[ ] 僅宣告實際需要的權限（AndroidManifest / Info.plist）
[ ] 權限在使用前才請求（非啟動時全部請求）
[ ] iOS Info.plist 每個權限有用途說明字串
[ ] 處理「永久拒絕」狀態（引導到系統設定）
[ ] 權限被拒時提供替代方案或提示

核心模式

// 按需請求，處理各種狀態
Future<bool> requestCameraPermission() async {
  final status = await Permission.camera.status;
  if (status.isGranted) return true;
  if (status.isDenied) {
    final result = await Permission.camera.request();
    return result.isGranted;
  }
  if (status.isPermanentlyDenied) {
    await openAppSettings();
    return false;
  }
  return false;
}

詳細範例：references/flutter-security-patterns.md 第 5 節

6. 認證與授權

原則：Token 安全儲存，過期自動處理，敏感操作前驗證狀態。

檢查清單

[ ] Token 使用 flutter_secure_storage 儲存
[ ] Token 過期有自動更新機制
[ ] 登出時清除所有本地 Token
[ ] 敏感操作前驗證使用者認證狀態
[ ] Refresh Token 失敗時跳轉登入頁面

詳細範例：references/flutter-security-patterns.md 第 6 節

7. 依賴安全

原則：定期檢查依賴漏洞，鎖定版本確保可重現建置。

檢查清單

[ ] flutter pub audit 無已知漏洞
[ ] flutter pub outdated 定期執行
[ ] pubspec.lock 已提交到版本控制
[ ] 依賴版本有合理約束（使用 ^ 語法）
[ ] CI/CD 使用 --enforce-lockfile 確保一致性

核心指令

flutter pub audit        # 檢查已知漏洞
flutter pub outdated     # 檢查過時套件
flutter pub upgrade      # 更新依賴

詳細範例：references/flutter-security-patterns.md 第 7 節

8. 敏感資料外洩防護

原則：日誌不含敏感資料，錯誤訊息不洩漏技術細節。

檢查清單

[ ] 日誌中無 Token、密碼、個人資料
[ ] 使用者看到的錯誤訊息為通用文字（透過 i18n / ErrorHandler）
[ ] 技術細節僅記錄到開發日誌（kDebugMode 判斷）
[ ] Release 建置不輸出除錯日誌
[ ] Stack Trace 不暴露給使用者

核心模式

// 正確：Release 模式下不輸出日誌
if (kDebugMode) {
  debugPrint('API Error: ${error.runtimeType}');
}

// 正確：使用 ErrorHandler 轉換錯誤訊息
final userMessage = ErrorHandler.getUserMessage(exception);

// 錯誤：直接暴露技術細節
// showError('Database error: $sqlException at line 42');

詳細範例：references/flutter-security-patterns.md 第 8 節

上架前安全檢查清單

Release 建置或上架前，逐項確認：

[ ] 機密：無硬編碼機密，全部透過環境變數注入
[ ] 輸入驗證：所有使用者輸入已驗證
[ ] SQL 注入：所有查詢參數化
[ ] 本地儲存：敏感資料使用加密儲存
[ ] HTTPS：所有網路通訊使用 HTTPS
[ ] 權限：僅宣告必要權限，有用途說明
[ ] 認證：Token 安全儲存和自動更新
[ ] 日誌：Release 建置無敏感資料輸出
[ ] 依賴：flutter pub audit 無漏洞
[ ] 錯誤處理：使用者看不到技術細節
[ ] ProGuard/R8：Android Release 啟用程式碼混淆
[ ] App Transport Security：iOS 已正確設定

參考資源

Flutter Security Best Practices
OWASP Mobile Top 10
OWASP Mobile Application Security
詳細程式碼範例：references/flutter-security-patterns.md

Last Updated: 2026-03-02 Version: 1.0.0

Related Skills

tarrragon/impeccable

development

VerifiedTrustedCommunity

Use when the user wants to design, redesign, shape, critique, audit, polish, clarify, distill, harden, optimize, adapt, animate, colorize, extract, or otherwise improve a frontend interface. Covers websites, landing pages, dashboards, product UI, app shells, components, forms, settings, onboarding, and empty states. Handles UX review, visual hierarchy, information architecture, cognitive load, accessibility, performance, responsive behavior, theming, anti-patterns, typography, fonts, spacing, layout, alignment, color, motion, micro-interactions, UX copy, error states, edge cases, i18n, and reusable design systems or tokens. Also use for bland designs that need to become bolder or more delightful, loud designs that should become quieter, live browser iteration on UI elements, or ambitious visual effects that should feel technically extraordinary. Not for backend-only or non-UI tasks.

1SKILL.mdUpdated Jun 4, 2026

tarrragon/cc-release-impact-review

development

VerifiedTrustedCommunity

Claude Code release notes 框架影響評估工具。比對 last-reviewed 版本篩出新版本，逐項分類（對框架有幫助 / 需評估 / 無影響 / 不適用），對採用項引導建 ANA + WRAP + spawn 落地。Use when: 執行 /release-notes 看到新版本、定期檢查 CC 更新、評估新功能對專案框架的影響時。Triggers: release notes, release-notes, CC 更新, claude code 更新, 版本更新評估, 新功能評估, 框架影響評估。

1SKILL.mdUpdated Jun 4, 2026

tarrragon/cc-release-impact-review

tarrragon/test-assertion-design

development

VerifiedTrustedCommunity

Assertion design judgment framework for flaky and design-quality issues. Use when writing tests, reviewing assertions, diagnosing flaky tests, or deciding if a timing/float/cache assertion is appropriate. Do NOT use for API syntax or refactoring.

1SKILL.mdUpdated May 27, 2026

tarrragon/test-assertion-design

tarrragon/chrome-extension-mcp-debug

tools

VerifiedTrustedCommunity

Chrome Extension 實機測試與 debug 工作流，以 chrome-devtools-mcp 為核心工具。Use when: (1) 完成功能後實機驗證 / manual test / 試看看 / 跑看看 / verify feature, (2) extension debug / popup 不作動 / content script 不注入 / service worker 報錯 / background 出問題, (3) 安裝 unpacked extension / load unpacked / 載入未封裝, (4) 看 console / 看 network / 看 log / view console / inspect requests, (5) 功能更新後重新載入 extension / rebuild reload / reload extension。涵蓋 Manifest V3 service worker / content script / popup / options page 的 chrome-devtools-mcp 工具呼叫流程。不取代 Puppeteer / Playwright 自動化 E2E（CI 用），定位為開發期手動驗證與 LLM-assisted debug。

1SKILL.mdUpdated May 12, 2026

tarrragon/chrome-extension-mcp-debug

Download

For Claude Desktop. Download once, then upload the file in the app — no terminal needed.

Need help? View full Cowork setup guide →

Install manually

Choose your platform

# Clone the repo
git clone https://github.com/tarrragon/claude.git

# Copy into Claude Code skills folder (global)
cp -r claude/skills/security-review ~/.claude/skills/

Claude Code Skills — official skills path docs.

Repository

tarrragon/claude

1 stars

Compatible with

Claude Code

OpenAI Codex CLI

ChatGPT