Sicherheit
OWASP Security Review
Code-Reviews gegen OWASP Top 10 und ASVS — direkt im Agent-Workflow.
Dieser Skill von Agam More prüft Code systematisch gegen die OWASP Top 10 (2025) und den Application Security Verification Standard (ASVS 5.0) — die beiden wichtigsten Referenzwerke für Webanwendungssicherheit. Der Agent erkennt damit Injection-Lücken, kaputte Zugriffskontrollen, unsichere Konfigurationen und weitere Standard-Schwachstellen.
Der Wert liegt in der Systematik: Statt punktuell auf verdächtige Stellen zu reagieren, arbeitet der Agent eine etablierte Checkliste ab und ordnet Funde den offiziellen Kategorien zu. Das erzeugt Reviews, die sich an Branchenstandards messen lassen und auch für Compliance-Dokumentation taugen.
Der Skill eignet sich besonders als fester Bestandteil des Entwicklungsworkflows: vor jedem Merge einmal gegen die OWASP-Kriterien prüfen lassen kostet Minuten und fängt die häufigsten Fehlerklassen ab.
FAQ
Häufige Fragen zu OWASP Security Review
- Was ist der Unterschied zwischen OWASP Top 10 und ASVS?
- Die Top 10 sind die zehn häufigsten Risikoklassen für Webanwendungen — ein Bewusstseins-Dokument. ASVS ist ein detaillierter Verifikationsstandard mit hunderten prüfbaren Anforderungen. Der Skill nutzt beide: Top 10 für den Überblick, ASVS für die Tiefe.
- Erkennt der Skill auch Logikfehler?
- Teilweise. Zugriffskontroll- und Authentifizierungslogik gehören zu den OWASP-Kategorien und werden geprüft. Hochspezifische Geschäftslogikfehler erfordern dagegen Kontextwissen, das man dem Agent zusätzlich geben sollte.
- Wie integriere ich den Skill in den Team-Workflow?
- Bewährt hat sich ein fester Review-Schritt vor dem Merge: Der Agent prüft den Diff gegen die OWASP-Kriterien und dokumentiert Funde. In Claude Code lässt sich das auch mit Hooks oder eigenen Slash-Commands automatisieren.