安全审计 Skill技能列表
EICAR测试技能Skill eicar-test
本技能提供EICAR标准测试文件,专用于恶意软件检测工具的测试与验证,特别是集成VirusTotal二进制文件扫描器,帮助评估安全产品效果。关键词:EICAR测试、恶意软件检测、反病毒软件、VirusTotal集成、二进制扫描、安全开发。
静态分析Skill static-analysis
静态分析技能专注于使用CodeQL和Semgrep进行代码静态分析,以检测安全漏洞、评估代码质量和确保安全合规。它支持多种编程语言,生成标准SARIF输出,便于集成到开发流程中,如CI/CD管道。关键词:静态代码分析、CodeQL、Semgrep、漏洞扫描、安全审计、代码审查、SARIF格式、自动化安全测试、安全合规扫描。
API安全最佳实践Skill api-security-best-practices
这个技能用于实现安全的API设计模式,包括身份认证、授权、输入验证、速率限制和防护常见API漏洞。适用于REST、GraphQL和WebSocket API的安全实施,帮助开发者构建和保护API接口,防止攻击如SQL注入、DDoS等。关键词:API安全、身份认证、授权、输入验证、速率限制、OWASP、JWT、OAuth、网络安全、后端开发。
高级信息安全管理体系审计专家Skill isms-audit-expert
该技能用于内部和外部信息安全管理体系(ISMS)审计,提供ISO 27001合规验证、安全控制评估、风险审计计划、技术安全测试集成和网络安全合规支持。关键词:ISMS审计,ISO 27001,安全审计,合规验证,信息安全管理,网络安全审计。
安全陷阱分析Skill sharp-edges
该技能用于识别和分析软件设计中的易错点,特别是API、配置和接口,以确保默认安全设置和减少开发人员误用。适用于安全审计、代码审查和设计评估,帮助避免安全失误。关键词:安全设计、API审查、配置验证、易错点识别、默认安全、成功陷阱、安全陷阱、抗误用。
安全陷阱规避指南Skill pitfalls-security
本技能提供软件开发中常见安全陷阱的识别与规避模式,涵盖会话密钥管理、敏感数据缓存、结构化日志记录、环境变量处理等核心安全实践。适用于前后端开发、DevOps及安全审计场景,帮助开发者构建更安全的应用程序。关键词:会话密钥安全、缓存策略、日志脱敏、环境变量、AES-256-GCM、审计日志、安全编码。
依赖项审计器Skill dependency-auditor
该技能用于自动化扫描项目依赖项的安全漏洞,识别已知漏洞如CVEs,检查过时包,检测供应链安全问题,并提供详细的修复建议和报告,关键词包括:依赖项审计、安全漏洞、CVEs、供应链安全、修复建议、漏洞评估。
安全编码Skill secure-coding
这个技能提供安全编码实践的全面指导,涵盖OWASP Top 10 2025、CWE Top 25、输入验证、输出编码和语言特定的安全模式。用于代码安全漏洞审查、安全控制实施和学习安全开发实践。关键词:安全编码、OWASP、CWE、输入验证、输出编码、代码审查、安全开发、软件安全、漏洞预防。
安全审计与加固工具Skill harden
VPS安全审计与加固工具,用于远程服务器的自动化安全检查和加固,包括系统更新、防火墙配置、SSH安全设置等,提升服务器安全性。关键词:VPS安全、安全审计、服务器加固、自动化安全、网络安全工具。
API安全加固Skill api-security-hardening
提供REST API安全加固的指南和代码示例,包括认证、限流、CORS、输入验证和安全中间件的使用,以增强API的安全性。
pytmSkill pytm
pytm是一个Python库,用于基于STRIDE方法论的程序化威胁建模,能够帮助安全工程师通过代码定义系统架构,自动生成数据流图,识别跨信任边界的安全威胁,并生成全面的威胁报告。
Burp项目解析器Skill burpsuite-project-parser
这个技能用于从Burp Suite项目文件中搜索和提取数据,支持使用正则表达式搜索响应头和体、提取安全审计发现、分析HTTP流量,适用于网络安全审计和漏洞挖掘。关键词:Burp Suite, 安全审计, 漏洞挖掘, HTTP流量分析, 正则表达式搜索。