SkillsScout
50 ENTRIES · 10 SECTORS · ZH · UPD 2026-07-15

claude-code-owasp

安全与合规·收录日期 2026-07-13·来源仓库 ↗
Scout 评分8
受欢迎程度
6
可用程度与相关性
9
安全性
9
综合
8

1. 基本信息

项目 内容
名称 claude-code-owasp
作者/维护者 agamm(个人开发者,GitHub 独立仓库,持续独立维护)
来源链接 https://github.com/agamm/claude-code-owasp
许可证 MIT(GitHub API 直接确认)
GitHub Stars / Forks 284 / 25(页面直接抓取确认,2026-07-13)
最新版本 无正式 Release/版本号(纯文档型仓库),以最近一次提交为准:2026-06-28
安装方式 npx degit agamm/claude-code-owasp/.claude/skills/owasp-security .claude/skills/owasp-security 一条命令安装,或 git clone 全仓库

2. 功能介绍与亮点

这是一个专注于 安全代码评审 的 Claude Code 技能,把多份分散的安全标准浓缩进一份可随时调用的参考文档:

主要亮点:

3. 适用场景

所属固定分类:安全与合规

4. 跨 Agent 兼容性

Agent 结论 判断依据
Claude Code ✅ 原生支持 仓库按 Claude Code 的 .claude/skills/<name>/SKILL.md 目录约定组织,YAML frontmatter 含 allowed-tools 字段,为 Claude Code 原生 Agent Skill 格式
Codex ❓ 未验证 仓库定位明确为“Claude Code skill”,未见针对 Codex 的适配说明或测试记录,本次未为此单独发起搜索
OpenClaw ❓ 未验证 同上,材料中未出现相关证据
Hermes Agent ❓ 未验证 同上,材料中未出现相关证据

5. 推荐理由

安全评审类技能容易踩两个坑:一是为了“看起来强大”而赋予过大的代码执行/联网权限,反而引入新的攻击面;二是内容停留在旧版标准,覆盖不到 Agent/LLM 应用本身的新风险。claude-code-owasp 恰好在这两点上都做对了——纯只读参考架构从根子上排除了执行风险,同时是本次比较的候选中唯一系统覆盖 2026 年 Agentic AI Security 标准的技能,这对已经或即将部署 Agent 类产品的团队尤其有直接价值。加上 Snyk 的第三方背书和近两周内的活跃维护记录,属于“装上即赚、几乎零风险”的技能。

6. 评分

维度 分数 说明
受欢迎程度 6 284 stars,处于 200–1k 区间;叠加 Snyk 公开收录背书,未发现 ≥3 个独立来源的活跃讨论,故取该区间中段
可用性 9 一条 degit 命令即用;文档含完整示例与分层参考文件;近一个月内有维护;全部免费、无付费依赖
安全性 9 见下方检查清单
综合 8.0 三项均值

安全检查清单:

检查项 结果
① Shell 命令执行及权限范围 无——allowed-tools 仅声明 Read/Grep/Glob 三个只读文件工具
② 运行时联网外发数据 无——纯静态参考文档,不发起任何网络请求
③ API key/凭据要求 无需任何凭据
④ SKILL.md/脚本中可疑指令 未发现——内容为标准安全指南与代码示例,且明确倡导“不要把密钥写进系统提示词”“所有 LLM 输出都应视为不可信”等防御性最佳实践,而非试图操纵 Agent 本身
⑤ 作者/组织信誉 个人开发者,仓库信息透明,且获 Snyk 等第三方安全机构公开认可
⑥ License 是否明确 明确,MIT
⑦ 最近维护时间 2026-06-28,活跃维护中,无弃置风险

未扣分项:本技能不涉及代码执行、不联网、不要求凭据,是本次评估中架构最简洁、可审计性最高的候选之一。

7. 跟同类 Skills 相比的优势

技能 架构 标准覆盖 费用
claude-code-owasp(本次推荐) 纯只读参考,零执行风险 OWASP Top10:2025 + ASVS 5.0 + LLM Top10 + Agentic AI Security 2026 完全免费开源
VibeSec-Skill(BehiSecc) 定位为“安全联合驾驶”,覆盖约 60–70% 常见漏洞 传统 Web 漏洞为主 免费版功能受限,完整版需跳转付费产品 vibesec.sh
vbsec(tanviet12) 执行实际安全扫描,检测 20+ 类漏洞 传统代码漏洞扫描 免费,但涉及代码执行、风险面更大

核心差异化:多数同类技能要么为了“更强的检测能力”引入代码执行/扫描逻辑(相应扩大攻击面),要么把完整能力放在付费产品之后。claude-code-owasp 选择了“纯知识注入”路线,用零执行架构换取了更高的可审计性,同时是唯一覆盖 2026 年 Agentic AI 安全标准的候选,标准覆盖广度反而领先。

8. 用户评价

  1. Snyk(安全行业公司,官方博客文章):在“Top 9 Claude Skills for Cybersecurity, Hacking, and Vulnerability Scanning”一文中收录本技能,评价其为“a living reference for OWASP security best practices”(来源:snyk.io/articles/top-claude-skills-cybersecurity-hacking-vulnerability-scanning/)。
  2. 本次未收集到额外的独立来源评价(如 Reddit / Hacker News 讨论帖),如实说明,未为凑数追加抓取。

9. 其他补充

无多语言版本;仓库通过 PR 持续演进(部分提交由作者与 Claude 协作完成,如 Restructure owasp-security skill for progressive disclosure 一次提交即为作者与 claude 共同署名)。

10. 安装使用方式

方式一(推荐):仅安装技能子目录

npx degit agamm/claude-code-owasp/.claude/skills/owasp-security .claude/skills/owasp-security

方式二:克隆完整仓库

git clone https://github.com/agamm/claude-code-owasp.git

安装后注意事项:

11. 注意事项