perform-security-review

Skill fonctionnel du plugin bitwarden-security-engineer : orchestre une revue de sécurité complète en lançant quatre agents spécialisés en parallèle puis un agent de vérification.

npx skills add https://github.com/bitwarden/ai-plugins --skill perform-security-review

perform-security-review

Ce skill fait partie du plugin bitwarden-security-engineer, distribué via le marketplace AI de Bitwarden (bitwarden/ai-plugins). Il constitue le point d'entrée principal pour déclencher une revue de sécurité complète sur une base de code, une pull request, un commit ou un ensemble de changements locaux.

Ce que fait ce skill

Lorsqu'il est invoqué, le skill orchestre un workflow en plusieurs étapes :

  1. Collecte du contexte — résolution de l'identité du dépôt, récupération du diff selon le mode choisi (PR, commit, plage temporelle, changements locaux, comparaison de branches), et collecte des alertes de scan existantes (code scanning, secret scanning, Dependabot via l'API GitHub).
  2. Lancement de quatre agents spécialisés en parallèle — chacun couvre un domaine précis : sécurité du code (injections, cryptographie, OWASP), secrets et dépendances, architecture de sécurité (authentification, zéro-knowledge), et perspective attaquant (flux de données, escalade de privilèges).
  3. Notation et triage — chaque finding est évalué selon deux axes (sévérité et confiance) à l'aide d'un rubric de référence, puis classé en Blocker, Improvement, Note, Strength ou Dismissed.
  4. Agent de vérification — un cinquième agent consolide et valide l'ensemble des findings sans en ajouter ni en supprimer.
  5. Production du rapport — le rapport final est formaté en Markdown et livré soit en réponse directe dans le chat, soit écrit dans un fichier, soit déposé dans /tmp/review-summary.md pour intégration CI/CD (GitHub Actions).

Modes d'invocation

Le skill s'adapte automatiquement au contexte : numéro ou URL de PR, SHA de commit, durée (ex. « last 48 hours »), changements locaux en attente, ou comparaison de branche contre main. L'argument --output contrôle la destination du rapport (chat, file, ou github).

Utilisation dans le marketplace

Ce skill s'installe avec le plugin bitwarden-security-engineer via Claude Code. Il délègue l'analyse à d'autres skills du même plugin (bitwarden-security-context, analyzing-code-security, detecting-secrets, reviewing-dependencies, reviewing-security-architecture, threat-modeling), qu'il invoque automatiquement depuis les agents qu'il lance.

Skills similaires

mcp-security-audit
github / awesome-copilot

31 949
agent-supply-chain
github / awesome-copilot

31 949
gdpr-compliant
github / awesome-copilot

31 949
committing-changes
bitwarden / ai-plugins

Structurer des messages de commit Git selon des conventions standardisées avec tickets Jira.

89
researching-jira-issues
bitwarden / ai-plugins

Rechercher et synthétiser les informations d'issues Jira avec leurs dépendances liées.

89