Stats
Actions
Tags
From security-audit-cli
Audit de securite TricorderKit : secret scanning, audit des dependances vs CVE, controle des permissions, analyse de patterns a risque, verification d'anonymisation avant depot public. Declencheurs : audit securite, scan secrets, verifie les fuites, check anonymisation, security scan.
How this skill is triggered — by the user, by Claude, or both
Slash command
/security-audit-cli:security-audit-cliThe summary Claude sees in its skill listing — used to decide when to auto-load this skill
> Version : 0.1.0 — 16/05/2026
Version : 0.1.0 — 16/05/2026 Ancrage : TricorderKit v0.8 — Phase 5 active Statut : Scaffoldé — en développement
security-audit-cli est le gardien de sécurité de l'écosystème TricorderKit. Il détecte les fuites de secrets, les permissions excessives, les dépendances vulnérables et les patterns de code à risque — avant qu'ils n'atteignent le dépôt public.
requirements.txt, package.json, pyproject.toml vs CVE connus/tk:security audit (scan complet)/tk:security check-anonymization <file>plugins/security-audit-cli/
├── README.md ← Guide d'utilisation
├── SKILL.md ← Ce fichier
├── manifest.yml ← Compatible cli-forge
├── secret_scanner.py ← Regex patterns API keys, tokens, passwords
├── pattern_checker.py ← Anti-patterns code (eval, shell=True, etc.)
├── anonymization_checker.py ← Détection termes privés pour push public
└── scripts/
└── security_runner.py ← CLI principale (Typer) — entrypoint
Tests dans tests/test_security_audit.py (racine du projet) — 16 tests PASS.
| Pattern | Exemple détecté |
|---|---|
| API Key générique | api_key = "sk-...", API_KEY=abc123 |
| Token GitHub | ghp_..., github_pat_... |
| Token Anthropic | sk-ant-... |
| Clé AWS | AKIA[0-9A-Z]{16} |
| Password hardcodé | password = "...", passwd = "..." |
| Connection string DB | postgresql://user:pass@host/db |
Déclarer les termes privés dans linked_project/project_config/project.yaml → champ private_terms[].
TricorderKit charge cette liste au runtime pour bloquer tout push public contenant des données métier.
Exemple de configuration :
# linked_project/project_config/project.yaml
private_terms:
- MyPrivateProjectName
- MyPrivateAppName
- my-private-cli
eval( dans du code Python non testsubprocess.*shell=True sans commentaire justificatifos.system( sans whitelist explicitepickle.loads( sur input non validé{
"status": "success|partial|error|dry_run",
"skill_name": "security-audit-cli",
"skill_version": "0.1.0",
"timestamp": "...",
"output": {
"summary": "Audit OK — 0 secret, 0 CVE critique, 2 warnings pattern",
"data": {
"secrets_found": 0,
"cve_critical": 0,
"cve_high": 0,
"pattern_warnings": 2,
"anonymization_violations": 0,
"files_scanned": 47,
"findings": []
},
"files_created": ["reports/security/security_report_2026-05-16.md"],
"next_steps": ["Corriger pattern eval() dans plugins/x/y.py:L42"]
}
}
# Audit complet du repo
python plugins/security-audit-cli/security_runner.py audit
# Scanner uniquement les secrets
python plugins/security-audit-cli/security_runner.py scan-secrets --path plugins/
# Vérifier anonymisation avant push public
python plugins/security-audit-cli/security_runner.py check-anon --path plugins/tk-orchestrator/
# Auditer les dépendances
python plugins/security-audit-cli/security_runner.py audit-deps
# Dry-run complet
python plugins/security-audit-cli/security_runner.py audit --dry-run
| Niveau | Critères | Comportement CI |
|---|---|---|
| CRITICAL | Secret exposé, terme privé dans repo public | Bloquer push — exit 2 |
| HIGH | Pattern dangereux, CVE score >= 9.0 | Warning — exit 1 |
| MEDIUM | CVE score 7.0–8.9, permission incorrecte | Warning — exit 0 |
| LOW | CVE score < 7.0, style recommendation | Info — exit 0 |
| Élément | Niveau | Commentaire |
|---|---|---|
| Secret scanning regex | ✅ Confirmé | Patterns battle-tested (gitleaks / trufflehog patterns) |
| Anonymisation check | ✅ Confirmé | Critique pour workflow public/privé TricorderKit |
| Dependency audit | 🟡 Probable | Dépend de pip-audit — disponible Python 3.10+ |
| Pattern check | 🟡 Probable | Faux positifs possibles sur code commenté |
| Intégration CI | 🟠 À vérifier | Hook pre-push Git à configurer |
security-audit-cli v0.1.0 — 16/05/2026 — TricorderKit v0.8
Provides CDSS development patterns for drug interaction checking, dose validation, clinical scoring (NEWS2, qSOFA), and alert classification integrated into EMR workflows.
npx claudepluginhub geekfamilycorp/tricorderkit --plugin security-audit-cli