安全审计 Skill技能列表
安全基础审查Skill security-fundamentals
这个技能用于审查软件安全基础,涵盖OWASP Top 10、输入验证、身份认证、授权等关键方面。适用于开发者在构建登录系统、处理用户输入、管理API密钥和JWT令牌时的安全审查。关键词:安全审查、OWASP、输入验证、认证、授权、密码存储、API安全、网络安全。
安全审计Skill AuditingSecurity
安全审计技能用于通过系统代码分析识别安全漏洞、评估风险并提供修复建议,适用于安全评估、部署前审查、合规验证(如OWASP、PCI-DSS、GDPR)、漏洞调查等场景。关键词:安全审计、漏洞识别、风险评估、代码分析、OWASP、CVSS、安全修复。
安全测试Skill security-testing
这个技能用于进行安全测试和审计,基于OWASP原则,系统性地测试OWASP Top 10漏洞,验证认证和授权,扫描依赖漏洞,防止注入攻击等。适用于安全审计、渗透测试、代码审查等场景。关键词:安全测试、OWASP、网络安全、漏洞扫描、认证验证、依赖检查、安全审计。
安全头技能Skill security-headers
该技能专注于HTTP安全头的验证与实现,用于保护Web应用程序免受XSS攻击、点击劫持、中间人攻击等安全威胁,涉及内容安全策略(CSP)、严格传输安全(HSTS)、跨源头设置等关键技术,提升Web应用的整体安全防护能力。关键词:HTTP安全头、验证、实现、Web安全、XSS防护、CSP、HSTS、网络安全、安全审计。
秘密扫描器Skill secret-scanner
秘密扫描器技能用于检测代码中意外提交的秘密、凭证和敏感信息,如API密钥、密码、私有密钥等。它使用正则表达式、熵分析和模式匹配来识别潜在安全风险,并提供详细报告和补救步骤。关键词:秘密扫描、代码安全、凭证检测、安全审计、风险评估、DevOps安全、CI/CD集成。
威胁建模Skill threat-modeling
威胁建模技能是一种系统性的安全分析方法,用于识别、评估和缓解软件系统中的安全威胁。它使用STRIDE、DREAD和攻击树等方法,集成到软件开发生命周期(SDLC)中,以实现主动风险管理和安全设计。关键词:威胁建模,安全分析,风险评估,STRIDE,DREAD,攻击树,SDLC集成,安全审计,风险优先级,主动安全设计。
秘密扫描Skill scan-secrets
此技能用于自动扫描代码库中的硬编码秘密、API密钥、凭证和敏感数据,识别安全风险,提供详细报告和修复建议。适用于开发流程中的安全审计,帮助预防数据泄露。关键词:代码安全扫描、API密钥检测、凭证保护、安全审计、误报验证。
代码成熟度评估器Skill code-maturity-assessor
代码成熟度评估器是一个系统性工具,用于基于Trail of Bits的9类别框架分析代码库的成熟度,覆盖算术安全、审计实践、访问控制、复杂性、去中心化、文档、MEV风险、低级代码和测试。它生成专业评分卡和可操作建议,适用于智能合约、区块链项目和一般软件的安全评估与优化。关键词:代码成熟度评估、安全审计、Trail of Bits、智能合约安全、测试覆盖率、文档评估、量化金融安全、区块链审计。
安全最佳实践Skill security-best-practices
此技能用于执行语言和框架特定的安全最佳实践审查,提供安全编码指导、被动漏洞检测和生成安全报告。关键词:安全审计、代码安全、漏洞挖掘、最佳实践、安全编码、安全审查。
技能扫描器Skill skill-scanner
技能扫描器用于扫描代理技能的安全性,检测提示注入、恶意代码、过度权限、秘密暴露和供应链风险,确保技能安装安全可靠。关键词:安全扫描、技能审计、代理技能安全、漏洞检测、网络安全扫描、自动化安全工具。
Supabase证据收集管理Skill supabase-evidence
这个技能用于在 Supabase 安全审计中初始化和组织证据收集目录,确保渐进式保存证据文件,以支持可重复性、法律合规性和审计跟踪。关键词:Supabase, 安全审计, 证据收集, 渗透测试, 数据保护。
Supabase表审计列表Skill supabase-audit-tables-list
此技能用于通过 Supabase PostgREST API 列出所有暴露的数据库表,以识别攻击面并进行安全审计,适用于渗透测试和风险评估。关键词:Supabase、审计、数据库表、API 安全、渗透测试、安全评估。