Skills Sécurité

Configurer Azure API Management en tant que passerelle IA pour les modèles d'IA, les outils MCP et les agents. QUAND : mise en cache sémantique, limite de jetons, sécurité du contenu, équilibrage de charge, gouvernance des modèles d'IA, limitation de débit MCP, détection de jailbreak, ajouter un backend Azure OpenAI, ajouter un modèle AI Foundry, tester la passerelle IA, politiques LLM, configurer le backend IA, métriques de jetons, contrôle des coûts IA, convertir une API en MCP, importer OpenAPI dans la passerelle.

Exécutez des audits de conformité et de sécurité Azure avec azqr et des vérifications d'expiration Key Vault. Couvre l'évaluation des bonnes pratiques, la révision des ressources, la validation des politiques/conformité et les contrôles de posture de sécurité. QUAND : scan de conformité, audit de sécurité, AVANT d'exécuter azqr (outil CLI de conformité), bonnes pratiques Azure, vérification d'expiration Key Vault, certificats expirés, secrets en cours d'expiration, ressources orphelines, évaluation de conformité.

Architect and provision enterprise Azure infrastructure from workload descriptions. For cloud architects and platform engineers planning networking, identity, security, compliance, and multi-resource topologies with WAF alignment. Generates Bicep or Terraform directly (no azd). WHEN: 'plan Azure infrastructure', 'architect Azure landing zone', 'design hub-spoke network', 'plan multi-region DR topology', 'set up VNets firewalls and private endpoints', 'subscription-scope Bicep deployment',...

Assess and improve the reliability posture of Azure Functions: zone redundancy, ZRS storage, health probes, multi-region failover. Scans deployed resources, presents a feature-pivoted checklist, then drives staged remediation (CLI or IaC patches) end-to-end with user confirmation. WHEN: "assess reliability", "check reliability", "zone redundant", "multi-region failover", "high availability", "disaster recovery", "single points of failure", "reliability posture".

Validation pré-déploiement pour la préparation Azure. Effectuez des vérifications approfondies sur la configuration, l'infrastructure (Bicep ou Terraform), les attributions de rôles RBAC, les autorisations d'identité managée et les prérequis avant le déploiement. QUAND : valider mon application, vérifier l'état de préparation au déploiement, exécuter des contrôles préalables, vérifier la configuration, vérifier si prêt à déployer, valider azure.yaml, valider Bicep, tester avant le déploiement, résoudre les erreurs de déploiement, valider Azure Functions, valider l'application de fonction, valider serverless...

Provisionner les plans d'identité d'agent Microsoft Entra, les BlueprintPrincipals et les identités d'agent par instance via Microsoft Graph, et configurer l'échange de jetons OAuth 2.0 (fmi_path, OBO, cross-tenant) incluant le SDK Microsoft Entra pour le sidecar AgentID. UTILISER POUR : Plan d'identité d'agent, BlueprintPrincipal, OAuth d'agent, échange de jetons fmi_path, OBO d'agent, fédération d'identité de charge de travail pour agents, auth d'agent polyglotte, Microsoft.Identity.Web.AgentIdentities. NE PAS UTILISER POUR : application Entra standard...

Guide l'enregistrement d'application Microsoft Entra ID, l'authentification OAuth 2.0 et l'intégration MSAL. UTILISER POUR : créer un enregistrement d'application, enregistrer une application Azure AD, configurer OAuth, configurer l'authentification, ajouter des autorisations API, générer un principal de service, exemple MSAL, authentification d'application console, configuration Entra ID, authentification Azure AD. NE PAS UTILISER POUR : RBAC Azure ou attributions de rôles (utiliser azure-rbac), secrets Key Vault (utiliser azure-keyvault-expiration-audit), conseils généraux sur la sécurité des ressources Azure.

Configurer les hooks de Claude Code pour bloquer les commandes git dangereuses (push, reset --hard, clean, branch -D, etc.) avant leur exécution. Utiliser lorsque l'utilisateur souhaite prévenir les opérations git destructrices, ajouter des hooks de sécurité git, ou bloquer git push/reset dans Claude Code.

Dependency management strategies for Golang projects — go.mod management, installing/upgrading packages, Minimal Version Selection, vulnerability scanning, outdated dependency tracking, binary size analysis, Dependabot/Renovate setup, conflict resolution, and go.work workspaces. Use when adding, removing, or upgrading Go dependencies, auditing vulnerabilities, resolving version conflicts, or setting up automated dependency updates.

Defensive Golang coding to prevent panics, silent data corruption, and subtle runtime bugs. Use when encountering nil panics, append aliasing, map concurrent access, float comparison pitfalls, or zero-value design questions. Also use when reviewing code for nil-safety, numeric conversion overflow, resource lifecycle issues (defer in loops), or defensive copying of slices and maps.

Security best practices and vulnerability prevention for Golang. Covers injection (SQL, command, XSS), cryptography, filesystem safety, network security, cookies, secrets management, memory safety, and logging. Apply when writing, reviewing, or auditing Go code for security, or when working on any risky code involving crypto, I/O, secrets management, user input handling, or authentication. Includes configuration of security tools.

Use when self-hosting OpenClaw on a cloud server, hardening a remote OpenClaw gateway, choosing between SSH tunneling, Tailscale, or reverse-proxy exposure, or reviewing Podman, pairing, sandboxing, token auth, and tool-permission defaults for a secure personal deployment.

Use when setting up, hardening, or reviewing a cloud server for self-hosting, including DNS, SSH, firewalls, Nginx, static-site hosting, reverse-proxying an app, HTTPS with Let's Encrypt or ACME clients, safe HTTP-to-HTTPS redirects, or optional post-launch network tuning such as BBR.

Compliance expert for snyk-agent-scan — the agent skill file scanner — NOT for other Snyk CLI tools (snyk test, snyk code SAST, snyk iac, snyk container). Fixes alerts through content restructuring, never by suppressing or deleting information. Covers every file in a skill directory: SKILL.md, references/, assets/, and any secondary markdown. Apply when authoring a new skill, editing an existing one, triaging a failed snyk-agent-scan run locally or in CI, or unblocking a PR held by agent...

Use this skill when the user wants to send or fetch files through an Xdrop server from the terminal, asks to automate encrypted Xdrop share-link workflows, provides an Xdrop `/t/:transferId#k=...` link to download and decrypt locally, or needs Xdrop CLI flags such as `--quiet`, `--json`, `--expires-in`, `--output`, or `--api-url`, even if they do not explicitly mention the skill name.