代码片段安全审查

网络安全

代码片段安全审查

对代码片段生成安全审查报告，覆盖密钥、注入、弱加密、CORS、Cookie 和 TLS 配置。

本地简单运行

运行方式: 本地简单运行
标签: code reviewsecuritysnippetstatic analysissecure coding
工具标识: code-snippet-security-review
Worker: 无需启用
权限: 无需额外权限

使用步骤

粘贴需要审查的代码片段。
查看安全风险等级、位置和详细描述。
根据修复建议调整代码后重新审查。

使用例子

审查配置文件中的密钥泄露风险。
检查 SQL 查询片段是否存在注入漏洞。

代码片段

Risk score

100

High

Medium

Low

Lines

Tokens

SignalDetail

Hardcoded secret
High代码中出现疑似密钥、Token、密码或客户端密钥。
apiKey = "sk_live_1234567890abcdef"
移入密钥管理系统，轮换任何真实凭据，并添加 secret scanning。

Auth bypass
High认证或授权路径出现默认放行、调试开关或管理员硬编码。
SKIP_AUTH
删除绕过分支，为授权失败路径补测试，并限制调试开关进入生产。

Injection-prone query
HighSQL、LDAP、shell 或 URL 似乎通过字符串拼接引入用户输入。
SELECT * FROM users WHERE id = " +
使用参数化查询、URL allowlist、转义库和输入 schema 校验。

Type escape hatch
Mediumany、ts-ignore 或宽泛类型会隐藏 AI 生成代码的接口错误。
: any
收敛类型边界，为解析输入和外部响应增加显式 schema。

Silent failure
Medium空 catch 或吞错逻辑会让生成代码在生产中静默失败。
catch (error) {}
记录上下文、返回 typed error，并让调用方能处理失败结果。

Network call without guardrails
Medium外部请求缺少超时、重试预算、状态码处理或 SSRF 防护信号。
fetch(
加入 AbortController、超时、allowlist、重定向限制和响应校验。

生成结果

# Security review report

## Summary

- Findings: 6
- Risk score: 100
- Review scope: provided snippet only

## Required follow-up

- [High] Hardcoded secret: 移入密钥管理系统，轮换任何真实凭据，并添加 secret scanning。
- [High] Auth bypass: 删除绕过分支，为授权失败路径补测试，并限制调试开关进入生产。
- [High] Injection-prone query: 使用参数化查询、URL allowlist、转义库和输入 schema 校验。
- [Medium] Type escape hatch: 收敛类型边界，为解析输入和外部响应增加显式 schema。
- [Medium] Silent failure: 记录上下文、返回 typed error，并让调用方能处理失败结果。
- [Medium] Network call without guardrails: 加入 AbortController、超时、allowlist、重定向限制和响应校验。

## Manual checks

- Trace all user-controlled inputs to sinks.
- Confirm secrets, tokens and private keys are never logged or embedded.
- Review authorization checks separately from authentication checks.
- Add regression tests for every accepted finding.