安全审计 Skill技能列表
安全扫描技能Skill security-scan
安全扫描技能用于自动化检测代码中的安全漏洞,特别是OWASP Top 10漏洞,提供检查清单和扫描脚本,帮助开发者识别和修复访问控制、加密失败、注入等安全风险。适用于安全敏感的应用开发,提高代码安全性,关键词包括安全扫描、OWASP、漏洞检测、代码安全、自动化审计。
安全扫描器Skill security-scanner
安全扫描器技能是一个自动化代码安全审计工具,用于执行全面的应用程序安全测试。它集成了SAST静态应用安全测试、依赖项漏洞扫描、密钥泄露检测、容器镜像安全扫描、许可证合规性检查以及SBOM软件物料清单生成等功能。通过整合Semgrep、CodeQL、Snyk、OWASP、gitleaks、Trivy等主流安全工具,帮助开发团队在CI/CD流水线中自动化发现代码漏洞、第三方库风险、硬编码密钥、容器安全等问题,并提供详细的漏洞报告和修复建议,提升软件开发生命周期的安全性。
权限清理Skill sanitize-permissions
这是一个用于审计AI助手权限配置的安全工具,主要功能包括:权限安全检查、危险模式识别、安全钩子绕过检测、配置注入向量分析、重复权限清理。关键词:AI安全审计、权限管理、安全钩子、配置安全、注入防护、DevOps安全、自动化安全检查、权限清理工具。
Supabase安全审计报告生成器Skill supabase-report
此技能用于从Supabase安全审计中生成全面的Markdown报告,包括执行摘要、安全评分、漏洞发现和修复指南。适用于渗透测试、安全评估、合规审计和漏洞管理,帮助用户文档化发现、规划修复行动和跟踪安全态势。关键词:Supabase、安全审计、报告生成、渗透测试、漏洞管理、合规、修复计划、安全评分。
CodeQL静态分析Skill codeql
CodeQL是一种静态代码分析工具,专门用于安全漏洞检测、数据流分析和污点跟踪。它支持跨过程分析,帮助开发者在安全审计、CI/CD集成和自定义查询开发中发现复杂的安全问题。关键词:CodeQL、静态分析、安全漏洞、数据流、污点跟踪、安全审计、CI/CD、自定义查询。
chipsecSkill chipsec
Chipsec是一个用于UEFI固件静态安全分析的工具,能够解码固件结构,检测已知恶意软件和rootkits,生成EFI可执行文件清单,并提取NVRAM变量。
SecurityHeadersConfigurationSkill security-headers-configuration
这个skill提供了如何配置HTTP安全头部的指南,包括CSP、HSTS、X-Frame-Options和XSS保护等,用于增强Web应用程序的安全性,防御XSS攻击、点击劫持等浏览器端的安全威胁。
安全审计Skill security-audit
这个技能专用于安全审计,帮助验证行级安全策略、确保API路由的认证、扫描系统漏洞,并遵循安全优先的架构。适用于RLS策略验证、OWASP合规检查、漏洞扫描和安全代码审查。关键词:安全审计,RLS验证,OWASP合规,漏洞扫描,代码审查,安全评估。
安全审计清单Skill security-checklist
这个技能提供了Web应用程序部署前的安全审计清单,覆盖认证、输入验证、秘密管理、数据库安全、网络传输、限速、日志监控和基础设施等关键领域,帮助开发人员识别和修复常见安全漏洞,确保应用程序安全上线和合规。关键词:安全审计、Web安全、部署前检查、漏洞预防、合规、OWASP、密码哈希、环境变量。
威胁缓解映射Skill threat-mitigation-mapping
这个技能用于将识别的网络安全威胁映射到相应的安全控制和缓解措施,帮助组织优先安全投资、制定修复路线图、验证控制覆盖范围和设计纵深防御。关键词:威胁映射、安全控制、缓解措施、安全投资、修复计划、控制验证、纵深防御、安全架构。
安全审计准备助手Skill audit-prep-assistant
安全审计准备助手是一个专门帮助开发团队准备代码库进行安全审查的工具。它使用 Trail of Bits 的清单,通过设定审查目标、运行静态分析、提高测试覆盖率、移除死代码、确保可访问性和生成文档(如流程图、用户故事等),使代码库在安全审计前达到最佳状态。关键词:安全审计,代码审查,静态分析,测试覆盖,文档生成,Trail of Bits,安全审查,审计准备。
Horusec多语言静态应用安全扫描器Skill sast-horusec
Horusec 是一款开源的多语言静态应用安全测试(SAST)工具,支持18种以上编程语言和20多种安全分析工具。它能高效扫描代码漏洞、检测Git历史中的敏感信息泄露,并集成到CI/CD流程中实现安全开发生命周期(SDLC)。适用于开发安全、漏洞管理、DevSecOps等场景,是提升软件安全性的必备工具。关键词:静态应用安全测试,SAST,代码安全扫描,漏洞检测,Git秘密扫描,CI/CD安全集成,多语言安全分析,DevSecOps。