insecure-defaults

核心用法

Insecure Defaults Detection 是一款专门用于识别生产代码中"失败开放"（fail-open）安全漏洞的审计技能。它通过静态分析代码模式，检测以下关键风险点：硬编码密钥回退（如 process.env.JWT_SECRET || 'default''）、弱认证默认配置（如 AUTH_REQUIRED=false）、过时加密算法（MD5/SHA1/DES/RC4/ECB）、过度宽松的访问控制（CORS * 、权限 0777`）以及调试功能暴露等。

该技能采用四步工作流：首先通过 Grep/Glob 搜索目标代码库，识别潜在的不安全模式；其次验证代码实际运行行为，确认是"失败开放"还是"失败安全"；然后评估生产环境影响，判断配置是否会被覆盖；最后生成带证据的详细报告，包含漏洞位置、利用路径和修复建议。

显著优点

1. 精准区分风险等级：明确区分 fail-open（危险，应用带病运行）与 fail-secure（安全，配置缺失即崩溃）两种模式，避免误报。
2. 场景化使用指南：详细列出适用场景（生产审计、配置审查、代码评审）和明确排除项（测试文件、示例代码、开发工具），减少噪音。
3. 结构化审计流程：提供从搜索、验证、确认到报告的完整工作流，适合集成到 CI/CD 安全门禁。
4. 多语言覆盖：支持 Python、JavaScript/TypeScript、Ruby、Java 等主流语言的配置模式识别。

潜在缺点与局限性

1. 静态分析局限：无法动态验证生产环境实际配置，需人工确认 Dockerfile、K8s manifest 等是否覆盖默认值。
2. 上下文依赖：某些"不安全"模式在特定场景下可能是设计意图（如内部工具的调试模式），需要安全专家判断。
3. 无自动修复：仅提供检测和报告，不生成补丁代码，修复工作仍需开发团队完成。
4. T3 来源维护：来自个人/社区账号，长期更新和漏洞规则库维护存在不确定性。

适合的目标群体

• 安全工程师：进行生产应用安全审计、渗透测试前的基线检查
• DevSecOps 工程师：在 CI/CD 流水线中集成部署前安全检查
• 后端开发团队：审查微服务配置、密钥管理和认证实现
• 代码审查员：作为 Checklist 工具辅助人工审计，确保不遗漏常见配置漏洞

使用风险

1. 误报处理成本：需要人工验证每个发现，确认是否为测试文件或已被生产配置覆盖。
2. 审计范围遗漏：若未正确配置排除规则，可能漏检嵌在业务代码中的配置逻辑。
3. 依赖执行环境：Bash 权限用于必要系统命令，需在受控环境中运行以避免意外操作。
4. 规则更新滞后：新型漏洞模式（如 AI 生成代码中的特定反模式）可能未被及时收录。