toh-framework

Toh Framework 的 Security Engineer 技能為使用 AI 輔助開發的工程師提供嚴謹的自動化安全防護層。該工具遵循「信任但驗證」的原則，確保 AI 生成的程式碼在進入生產環境前經過漏洞審查。它專為使用 Claude Code、Cursor 及 Gemini CLI 等 IDE 的個人開發者與團隊設計，旨在無需人工介入的情況下實現快速安全驗證。

• 執行 Level 1 快速檢測，能在五秒內識別硬編碼金鑰、API Key、危險匯入指令以及 SQL 或 XSS 等明顯注入漏洞。

• 進行 Level 2 全面審計，涵蓋授權漏洞、不安全的 Cookie 設定、相依性漏洞及指令注入風險等複雜威脅。

• 透過模式比對技術掃描 .ts、.tsx、.js、.jsx 及 .env 設定檔，並能智慧地忽略編譯產物與相依性資料夾。

• 產生易於閱讀的安全性報告，將發現的問題區分為「嚴重」與「警告」等級，並提供具體的修正建議。

• 無縫整合進 Toh-framework 指令集（例如 /toh-protect），讓開發者能在開發終端機中直接進行安全掃描。

• 藉由識別不安全的 React HTML 渲染、過時的加密演算法以及 ESLint 安全規則繞過行為，強制執行主動式安全開發習慣。

• 若要觸發掃描，請使用指定指令 /toh-protect 或將檢測功能整合至 /toh-dev 與 /toh-test 工作流中。

• 此工具針對 TypeScript 與 Next.js 環境進行優化，同時適用於其他 Node.js 專案。

• 使用者應設定環境以確保框架能存取原始碼，同時自動忽略 /node_modules、/.git 與 /dist 目錄。

• 輸出結果包含檔案路徑與行號，有助於開發者立即修復發現的漏洞。

• 儘管該工具提供強大的檢測能力，但它是作為輔助安全防護層，不能完全取代專業的應用程式滲透測試。