AgentSkillsCN

AppSec Security Review

开展主动式安全审计,提前防范 OWASP Top 10 漏洞。

SKILL.md
--- frontmatter
name: AppSec Security Review
description: Auditoría de seguridad proactiva para prevenir vulnerabilidades OWASP Top 10.

🛡️ AppSec Security Review

Reglas para blindar el ERP contra ataques comunes.

1. Reglas de Base de Datos (Supabase)

  • RLS Obligatorio: JAMÁS deshabilites RLS. Cada tabla debe tener políticas explícitas.
  • Service Role Key: NUNCA usar en el frontend. Solo en Edge Functions seguras.

2. Frontend Security

  • XSS (Cross Site Scripting):
    • Nunca uses dangerouslySetInnerHTML a menos que sea ESTRICTAMENTE necesario y sanitizado (DOMPurify).
    • Escapa siempre los inputs de usuario.
  • CSRF: Supabase maneja los tokens de sesión, asegúrate de enviar los headers correctos.

3. Manejo de Datos Sensibles

  • PII (Personal Identifiable Information): DNI, Teléfonos, Correos deben tratarse con cuidado.
  • Logs: Nunca imprimas console.log(usuario) en producción.

4. Auditoría de Dependencias

Ejecuta regularmente:

bash
npm audit

Si hay vulnerabilidades altas, actualiza los paquetes inmediatamente.