安全审计 Skill技能列表
CodeQL安全分析技能Skill codeql
本技能用于运行 CodeQL 静态分析工具,通过过程间数据流和污点追踪技术检测代码中的安全漏洞。支持多种编程语言,包括 Python、JavaScript、Go、Java、C/C++、C#、Ruby、Swift。适用于安全审计、漏洞挖掘和代码安全扫描。关键词:CodeQL, 安全分析, 静态分析, 数据流, 污点追踪, 安全漏洞, 代码审计。
安全基础包Skill security-essentials-pack
安全基础包是一个综合性的安全技能集合,旨在帮助开发者和团队建立和维护应用程序的安全。它包含威胁建模、安全加固、合规检查、事件响应和合同风险分析等功能,适用于网络安全实践、合规审计和第三方风险管理。关键词:安全技能包、威胁建模、合规框架、安全审计、网络安全工具包、GDPR合规、事件响应、合同风险分析。
安全扫描器Skill security-scanner
安全扫描器技能是一个自动化代码安全审计工具,用于执行全面的应用程序安全测试。它集成了SAST静态应用安全测试、依赖项漏洞扫描、密钥泄露检测、容器镜像安全扫描、许可证合规性检查以及SBOM软件物料清单生成等功能。通过整合Semgrep、CodeQL、Snyk、OWASP、gitleaks、Trivy等主流安全工具,帮助开发团队在CI/CD流水线中自动化发现代码漏洞、第三方库风险、硬编码密钥、容器安全等问题,并提供详细的漏洞报告和修复建议,提升软件开发生命周期的安全性。
pytmSkill pytm
pytm是一个Python库,用于基于STRIDE方法论的程序化威胁建模。它使安全工程师能够将系统架构定义为代码,自动生成数据流图(DFDs),识别跨信任边界的安全威胁,并生成全面的威胁报告。这种方法将威胁建模集成到CI/CD管道中,实现左移安全和持续威胁分析。
变体分析Skill variant-analysis
变体分析是一种基于模式的分析技能,用于在代码库中查找相似漏洞和错误。适用于安全审计、漏洞挖掘、代码审查等场景。关键词包括:变体分析、漏洞挖掘、安全审计、代码审查、模式匹配。
安全模式Skill security-patterns
本技能提供Web应用程序安全开发的核心模式和最佳实践,涵盖OWASP Top 10防护、输入验证、输出编码、身份验证、授权、密钥管理等关键安全领域。包含代码示例、检查清单和审计脚本,帮助开发者构建安全的应用程序。关键词:网络安全、Web安全、OWASP、安全编码、漏洞防护、身份验证、授权、密钥管理、安全审计。
防滥用API与配置分析Skill sharp-edges
用于识别API设计、配置模式和接口中的安全隐患,确保开发者在默认情况下遵循安全最佳实践。关键词:API安全、配置审计、防滥用设计、安全默认值、代码审查、易错识别、威胁建模、安全漏洞预防。
安全审计Skill security-audit
安全审计技能是用于进行系统性安全审查与漏洞评估的专业能力。核心功能包括代码安全审查、OWASP Top 10漏洞识别、CVSS风险评分、依赖库漏洞分析、身份认证与数据保护审计,并提供详细的修复路线图。适用于软件发布前安全审查、合规审计、渗透测试准备及事件响应分析等场景。关键词:安全审计、漏洞评估、代码审查、OWASP、CVSS评分、安全合规、渗透测试、修复方案。
pytmSkill pytm
pytm是一个Python库,用于基于STRIDE方法论的程序化威胁建模,能够帮助安全工程师通过代码定义系统架构,自动生成数据流图,识别跨信任边界的安全威胁,并生成全面的威胁报告。
Python安全扫描工具Skill sast-bandit
Bandit是一款专业的Python代码安全扫描工具,专注于静态应用程序安全测试(SAST)。它能自动检测Python代码中的安全漏洞、硬编码密钥、SQL注入、命令注入等常见风险,并提供详细的严重性分级和修复建议。该工具支持CWE和OWASP安全框架映射,可集成到CI/CD流水线中,帮助开发团队在开发早期发现并修复安全问题,提升代码安全性。关键词:Python安全扫描,静态代码分析,SAST工具,漏洞检测,CI/CD安全,Bandit,代码审计,安全开发。
Horusec多语言静态应用安全扫描器Skill sast-horusec
Horusec 是一款强大的开源多语言静态应用安全测试工具,支持 18 种以上编程语言和 20 多种安全分析引擎。它能高效执行代码漏洞扫描、Git 历史记录中的秘密检测,并可与 CI/CD 管道无缝集成,助力构建安全的软件开发生命周期。关键词:静态应用安全测试 SAST,多语言代码扫描,漏洞检测,秘密泄露检测,CI/CD 安全集成,DevSecOps,开源安全工具。
静态应用安全测试(SAST)工具Skill sast-semgrep
本技能是一个基于Semgrep的静态应用安全测试(SAST)解决方案,专为开发和安全团队设计。它提供自动化代码漏洞扫描、安全代码审查、OWASP Top 10与CWE框架映射、修复指导以及CI/CD流水线集成。核心功能包括多语言漏洞检测、模式化安全审查、自定义规则开发、合规性支持(如SOC2、PCI-DSS)和性能优化扫描。适用于提升软件开发生命周期(SDLC)中的安全性,实现左移安全(Shift-Left Security)。关键词:静态应用安全测试 SAST,Semgrep,代码安全扫描,漏洞检测,OWASP Top 10,CWE,安全代码审查,CI/CD安全,DevSecOps,应用程序安全。