hello-security

Installation

SKILL.md

安全相关代码必须遵循以下规范。

编码前

先识别攻击面和信任边界，再写代码。

认证与密钥

密码：bcrypt/argon2 哈希，不可逆存储
JWT：设置过期时间，使用 RS256 或 HS256，不在 payload 存敏感数据
密钥/API key：环境变量或密钥管理服务，不硬编码
.env 不提交到版本控制（.gitignore）
API key 使用最小权限原则

输入验证

所有外部输入（用户、API、文件）必须验证
白名单优于黑名单
SQL：参数化查询，不拼接字符串
文件上传：验证类型、大小、内容，不信任文件扩展名

输出防护

Related skills

More from hellowind777/helloagents

Installs

1

Repository

hellowind777/helloagents

GitHub Stars

580

First Seen

Apr 21, 2026

Security Audits

Gen Agent Trust HubPass