SkillProgramaçãoRevisão
Checagem de Falso Positivo
Antes de reportar uma vulnerabilidade de segurança, roda uma verificação estruturada para descartar falso positivo — protegendo a relação sinal-ruído do time. Use antes de publicar, escalar ou rejeitar algo por motivo de segurança.
Ações
PerfilDev
ProfundidadeBaixa
IdiomaInglês (skill original)
Objetivo
Em uma frase.
Antes de registrar ou escalar um achado de segurança, verificar se ele é real. Sinal ruim treina o time a desconsiderar achados futuros, queima ciclos de revisão e reduz o impacto dos achados verdadeiros. A checagem força uma verificação estruturada antes de publicar.
Aplicação
Quando
faz sentido.
Usar
- Quando estiver prestes a registrar uma vulnerabilidade de segurança
- Quando estiver prestes a escalar para um incidente P0
- Quando estiver prestes a rejeitar um PR por motivo de segurança
Não usar
- Quando o achado já foi verificado via PoC
- Quando é um achado interno só do time, com baixo custo de estar errado
Prompt
Instruções
para a IA.
### As cinco perguntas de verificação
A skill aplica uma checagem de cinco perguntas. Primeira: o input é realmente controlado pelo atacante? Trace o input até a origem e verifique se há uma camada de sanitização entre origem e sink. Segunda: o sink é de fato perigoso? Só porque dados fluem para uma função não significa que seja explorável — confirme que o sink é sensível (execução de SQL, eval, execução de comando). Terceira: as restrições para exploração são atendidas (autenticação necessária, papel específico, ambiente ou config específicos)?
### PoC e segunda opinião
Quarta pergunta: você consegue reproduzir o exploit de fato? Não registre achados de severidade média ou superior sem uma PoC. Quinta: busque uma segunda opinião, conforme a skill
### Padrões comuns de falso positivo e veredito
Fique atento aos padrões clássicos de FP: dado contaminado em sink seguro (o sink não o executa), bypass de autenticação que exige autenticação (autocontraditório), "poderia ser explorado" sem PoC (geralmente teórico), achado de ferramenta sem leitura de código (ferramentas têm taxas de FP conhecidas) e camada faltante de defense-in-depth (não explorável se a camada externa funciona). Para cada achado, documente o trace de origem a sink, a auditoria de sanitização, os passos de PoC (ou um honesto "não reproduzível"), o resultado da segunda opinião e o veredito: real, provavelmente real, FP ou indeterminado.
A skill aplica uma checagem de cinco perguntas. Primeira: o input é realmente controlado pelo atacante? Trace o input até a origem e verifique se há uma camada de sanitização entre origem e sink. Segunda: o sink é de fato perigoso? Só porque dados fluem para uma função não significa que seja explorável — confirme que o sink é sensível (execução de SQL, eval, execução de comando). Terceira: as restrições para exploração são atendidas (autenticação necessária, papel específico, ambiente ou config específicos)?
### PoC e segunda opinião
Quarta pergunta: você consegue reproduzir o exploit de fato? Não registre achados de severidade média ou superior sem uma PoC. Quinta: busque uma segunda opinião, conforme a skill
second-opinion, especialmente para achados fora da sua especialidade. Esse par — reprodução concreta mais revisão independente — é o que separa um achado real de um teórico.### Padrões comuns de falso positivo e veredito
Fique atento aos padrões clássicos de FP: dado contaminado em sink seguro (o sink não o executa), bypass de autenticação que exige autenticação (autocontraditório), "poderia ser explorado" sem PoC (geralmente teórico), achado de ferramenta sem leitura de código (ferramentas têm taxas de FP conhecidas) e camada faltante de defense-in-depth (não explorável se a camada externa funciona). Para cada achado, documente o trace de origem a sink, a auditoria de sanitização, os passos de PoC (ou um honesto "não reproduzível"), o resultado da segunda opinião e o veredito: real, provavelmente real, FP ou indeterminado.
Constelação
Onde
ela vive.
Bundles que incluem
Execução
Como usar
com IA.
- 01Copie a skill (botão "Copiar skill para IA", no topo): o texto copiado já é a skill completa, não um resumo.
- 02Abra o Claude ou Claude Code e cole — a IA recebe todas as instruções e fica pronta para a tarefa.
- 03Prefere usar como arquivo reutilizável? Baixe o .zip e coloque o
SKILL.mdem.claude/skills/(Claude Code) ou anexe o arquivo no Claude (claude.ai).