owasp-cicd

tarafından microsoft

OWASP CI/CD Top 10 güvenlik açığı bilgi tabanı, sürekli entegrasyon ve sürekli teslimattaki güvenlik risklerini tanımlamak, değerlendirmek ve düzeltmek için kullanılır…

npx skills add https://github.com/microsoft/hve-core --skill owasp-cicd
ZIP İndirGitHub
1.2k

OWASP® CI/CD Top 10 — Skill Entry

This SKILL.md is the entrypoint for the OWASP CI/CD Top 10 skill.

The skill encodes the OWASP Top 10 CI/CD Security Risks as structured, machine-readable references that an agent can query to identify, assess, and remediate CI/CD pipeline security risks.

Normative references (CI/CD Top 10)

  1. 00 Vulnerability Index
  2. 01 Insufficient Flow Control Mechanisms
  3. 02 Inadequate Identity and Access Management
  4. 03 Dependency Chain Abuse
  5. 04 Poisoned Pipeline Execution
  6. 05 Insufficient PBAC
  7. 06 Insufficient Credential Hygiene
  8. 07 Insecure System Configuration
  9. 08 Ungoverned Usage of 3rd Party Services
  10. 09 Improper Artifact Integrity Validation
  11. 10 Insufficient Logging and Visibility

Skill layout

  • SKILL.md — this file (skill entrypoint).
  • references/ — the CI/CD Top 10 normative documents.
    • 00-vulnerability-index.md — index of all vulnerability identifiers, categories, and cross-references.
    • 01 through 10 — one document per vulnerability aligned with OWASP CI/CD Security numbering.

Third-Party Attribution

Copyright © OWASP Foundation. OWASP® Top 10 CI/CD Security Risks content is derived from works by the OWASP Foundation, licensed under CC BY-SA 4.0 (https://creativecommons.org/licenses/by-sa/4.0/). Source: https://owasp.org/www-project-top-10-ci-cd-security-risks/ Modifications: Vulnerability descriptions restructured into agent-consumable reference documents with added detection and remediation guidance. OWASP® is a registered trademark of the OWASP Foundation. Use does not imply endorsement.

microsoft tarafından daha fazla skill

oss-growth
microsoft
OSS büyüme korsanı kişiliği
official
microsoft-foundry
microsoft
Foundry ajanlarını uçtan uca dağıtın, değerlendirin ve yönetin: Docker build, ACR push, barındırılan/prompt ajan oluşturma, konteyner başlatma, toplu değerlendirme, sürekli değerlendirme, prompt optimizer iş akışları, agent.yaml, izlerden veri kümesi oluşturma. ŞUNUN İÇİN KULLANIN: ajanı Foundry'ye dağıtma, barındırılan ajan, ajan oluşturma, ajanı çağırma, ajanı değerlendirme, toplu değerlendirme çalıştırma, sürekli değerlendirme, sürekli izleme, sürekli değerlendirme durumu, prompt optimize etme, prompt iyileştirme, prompt optimizer
officialdevelopmentdevops
azure-ai
microsoft
Azure AI için kullanılır: Arama, Konuşma, OpenAI, Belge Zekası. Arama, vektör/karma arama, konuşmadan metne, metinden konuşmaya, transkripsiyon, OCR konularında yardımcı olur. NE ZAMAN: AI Arama, sorgu arama, vektör arama, karma arama, anlamsal arama, konuşmadan metne, metinden konuşmaya, transkribe etme, OCR, metni konuşmaya dönüştürme.
officialdevelopmentapi
azure-deploy
microsoft
Halihazırda .azure/deployment-plan.md ve altyapı dosyaları bulunan, ÖNCEDEN HAZIRLANMIŞ uygulamalar için Azure dağıtımlarını gerçekleştirir. Kullanıcı yeni bir uygulama OLUŞTURMAK istediğinde bu beceriyi KULLANMAYIN — bunun yerine azure-prepare kullanın. Bu beceri, yerleşik hata kurtarma ile azd up, azd deploy, terraform apply ve az deployment komutlarını çalıştırır. azure-prepare'dan .azure/deployment-plan.md ve azure-validate'dan onaylanmış durum gerektirir. NE ZAMAN: "azd up çalıştır", "azd deploy çalıştır", "dağıtımı gerçekleştir",...
officialdevopsaws
azure-storage
microsoft
Azure Storage Services dahil olmak üzere Blob Storage, File Shares, Queue Storage, Table Storage ve Data Lake. Depolama erişim katmanları (hot, cool, cold, archive), her katmanın ne zaman kullanılacağı ve katman karşılaştırması hakkında soruları yanıtlar. Nesne depolama, SMB dosya paylaşımları, eşzamansız mesajlaşma, NoSQL anahtar-değer ve büyük veri analitiği sağlar. Yaşam döngüsü yönetimini içerir. KULLANIM AMACI: blob depolama, dosya paylaşımları, kuyruk depolama, tablo depolama, data lake, dosya yükleme, blob indirme, depolama hesapları, erişim katmanları,...
officialdevelopmentdatabase
azure-diagnostics
microsoft
Azure üretim sorunlarını AppLens, Azure Monitor, kaynak durumu ve güvenli triyaj kullanarak hata ayıklayın. NE ZAMAN: üretim sorunlarını hata ayıklama, uygulama servisini sorun giderme, uygulama servisi yüksek CPU, uygulama servisi dağıtım hatası, konteyner uygulamalarını sorun giderme, işlevleri sorun giderme, AKS sorun giderme, kubectl bağlanamıyor, kube-system/CoreDNS hataları, pod beklemede, crashloop, düğüm hazır değil, yükseltme hataları, günlükleri analiz etme, KQL, içgörüler, görüntü çekme hataları, soğuk başlatma sorunları, durum yoklaması
officialdevopsdevelopment
azure-prepare
microsoft
Azure uygulamalarını dağıtıma hazırlayın (altyapı Bicep/Terraform, azure.yaml, Dockerfiles). Oluşturma/modernize etme veya oluşturma+dağıtma için kullanın; çapraz bulut geçişi için kullanmayın (azure-cloud-migrate kullanın). ŞUNLAR İÇİN KULLANMAYIN: copilot-sdk uygulamaları (azure-hosted-copilot-sdk kullanın). ŞU DURUMLARDA: "uygulama oluştur", "web uygulaması oluştur", "API oluştur", "sunucusuz HTTP API oluştur", "ön uç oluştur", "arka uç oluştur", "hizmet oluştur", "uygulamayı modernize et", "uygulamayı güncelle",
officialdevelopmentdevops
azure-validate
microsoft
Azure dağıtım öncesi hazırlık doğrulaması. Dağıtım öncesinde yapılandırma, altyapı (Bicep veya Terraform), RBAC rol atamaları, yönetilen kimlik izinleri ve ön koşullar üzerinde derin kontroller gerçekleştirir. NE ZAMAN: uygulamamı doğrula, dağıtım hazırlığını kontrol et, ön kontrolleri çalıştır, yapılandırmayı doğrula, dağıtıma hazır olup olmadığını kontrol et, azure.yaml dosyasını doğrula, Bicep'i doğrula, dağıtım öncesi test et, dağıtım hatalarını gider, Azure Functions'ı doğrula, function uygulamasını doğrula, sunucusuz do
officialdevopstesting