安全审计 Skill技能列表
静态分析工具技能Skill StaticAnalysisToolsSkill
这是一个用于软件安全开发的技能,专注于集成多种静态应用程序安全测试工具,如Semgrep、CodeQL、Bandit等,实现自动化代码安全扫描、漏洞模式识别、自定义规则开发以及CI/CD流水线集成。关键词:静态代码分析,SAST,安全扫描,漏洞检测,代码安全,CI/CD安全,Semgrep,CodeQL,自动化安全审计。
安全扫描器Skill security-scanner
安全扫描器技能是一个自动化代码安全审计工具,用于执行全面的应用程序安全测试。它集成了SAST静态应用安全测试、依赖项漏洞扫描、密钥泄露检测、容器镜像安全扫描、许可证合规性检查以及SBOM软件物料清单生成等功能。通过整合Semgrep、CodeQL、Snyk、OWASP、gitleaks、Trivy等主流安全工具,帮助开发团队在CI/CD流水线中自动化发现代码漏洞、第三方库风险、硬编码密钥、容器安全等问题,并提供详细的漏洞报告和修复建议,提升软件开发生命周期的安全性。
威胁建模器Skill threat-modeler
威胁建模器技能是一个专业的网络安全工具,用于在系统设计阶段识别、分析和评估潜在的安全威胁。它支持STRIDE、PASTA和VAST三种主流威胁建模方法,能够自动生成攻击树、分析数据流图,并使用DREAD等方法对威胁进行优先级排序。该技能适用于安全架构审查、API设计规范等场景,帮助开发者和安全工程师在早期发现漏洞,并提供相应的缓解建议,从而构建更安全的软件和系统。关键词:威胁建模,STRIDE,PASTA,VAST,攻击树,数据流图,DREAD,安全分析,漏洞评估,缓解措施。
安全模式Skill security-patterns
本技能提供Web应用程序安全开发的核心模式和最佳实践,涵盖OWASP Top 10防护、输入验证、输出编码、身份验证、授权、密钥管理等关键安全领域。包含代码示例、检查清单和审计脚本,帮助开发者构建安全的应用程序。关键词:网络安全、Web安全、OWASP、安全编码、漏洞防护、身份验证、授权、密钥管理、安全审计。
EICAR测试技能Skill eicar-test
本技能提供EICAR标准测试文件,专用于恶意软件检测工具的测试与验证,特别是集成VirusTotal二进制文件扫描器,帮助评估安全产品效果。关键词:EICAR测试、恶意软件检测、反病毒软件、VirusTotal集成、二进制扫描、安全开发。
Semgrep安全扫描技能Skill semgrep
这个技能用于自动化执行 Semgrep 静态代码分析,检测代码中的安全漏洞和错误,支持多语言并行扫描、自动规则集选择和用户批准流程。适用于安全审计、漏洞挖掘和代码质量检查,关键词包括:安全扫描、静态分析、漏洞检测、代码审计、Semgrep、安全审计、并行扫描、自动化测试、DevOps 安全。
依赖审计Skill dependency-audit
依赖审计技能用于分析和修复项目依赖中的安全漏洞,通过工具如npm audit和pip-audit,帮助开发者识别和更新易受攻击的包,确保软件安全。关键词:依赖审计、安全漏洞、npm audit、pip-audit、CVE检查、漏洞修复、安全审计、DevOps集成。
Semgrep规则创建器Skill semgrep-rule-creator
此技能用于创建自定义Semgrep规则,检测安全漏洞、执行编码标准,并构建特定领域的安全检查,涉及静态代码分析、自动化测试和规则优化,支持多种编程语言,适用于网络安全审计、漏洞挖掘和代码审查。关键词:Semgrep规则创建、安全分析、漏洞检测、编码标准、静态分析、自动化测试、网络安全、CI/CD安全、代码审查。
安全审查Skill security-review
安全审查技能用于执行全面的代码安全审计,检测OWASP Top 10漏洞、硬编码密钥和不安全模式。它通过代理到security-reviewer代理进行深度分析,包括输入验证、身份验证/授权、依赖安全等。适用于软件开发、网络安全、DevOps等领域,关键词:安全审计、代码安全、漏洞扫描、OWASP、加密、注入预防。
CodeQL安全分析技能Skill codeql
本技能用于运行 CodeQL 静态分析工具,通过过程间数据流和污点追踪技术检测代码中的安全漏洞。支持多种编程语言,包括 Python、JavaScript、Go、Java、C/C++、C#、Ruby、Swift。适用于安全审计、漏洞挖掘和代码安全扫描。关键词:CodeQL, 安全分析, 静态分析, 数据流, 污点追踪, 安全漏洞, 代码审计。
Horusec多语言静态应用安全扫描器Skill sast-horusec
Horusec 是一款开源的多语言静态应用安全测试(SAST)工具,支持18种以上编程语言和20多种安全分析工具。它能高效扫描代码漏洞、检测Git历史中的敏感信息泄露,并集成到CI/CD流程中实现安全开发生命周期(SDLC)。适用于开发安全、漏洞管理、DevSecOps等场景,是提升软件安全性的必备工具。关键词:静态应用安全测试,SAST,代码安全扫描,漏洞检测,Git秘密扫描,CI/CD安全集成,多语言安全分析,DevSecOps。
pytmSkill pytm
pytm是一个Python库,用于基于STRIDE方法论的程序化威胁建模。它使安全工程师能够将系统架构定义为代码,自动生成数据流图(DFDs),识别跨信任边界的安全威胁,并生成全面的威胁报告。这种方法将威胁建模集成到CI/CD管道中,实现左移安全和持续威胁分析。