安全审计 Skill技能列表
依赖审计Skill dependency-audit
依赖审计技能用于分析和修复项目依赖中的安全漏洞,通过工具如npm audit和pip-audit,帮助开发者识别和更新易受攻击的包,确保软件安全。关键词:依赖审计、安全漏洞、npm audit、pip-audit、CVE检查、漏洞修复、安全审计、DevOps集成。
安全审计Skill security-audit
安全审计技能是用于进行系统性安全审查与漏洞评估的专业能力。核心功能包括代码安全审查、OWASP Top 10漏洞识别、CVSS风险评分、依赖库漏洞分析、身份认证与数据保护审计,并提供详细的修复路线图。适用于软件发布前安全审查、合规审计、渗透测试准备及事件响应分析等场景。关键词:安全审计、漏洞评估、代码审查、OWASP、CVSS评分、安全合规、渗透测试、修复方案。
pytmSkill pytm
pytm是一个Python库,用于基于STRIDE方法论的程序化威胁建模,能够帮助安全工程师通过代码定义系统架构,自动生成数据流图,识别跨信任边界的安全威胁,并生成全面的威胁报告。
Python安全扫描工具Skill sast-bandit
Bandit是一款专业的Python代码安全扫描工具,专注于静态应用程序安全测试(SAST)。它能自动检测Python代码中的安全漏洞、硬编码密钥、SQL注入、命令注入等常见风险,并提供详细的严重性分级和修复建议。该工具支持CWE和OWASP安全框架映射,可集成到CI/CD流水线中,帮助开发团队在开发早期发现并修复安全问题,提升代码安全性。关键词:Python安全扫描,静态代码分析,SAST工具,漏洞检测,CI/CD安全,Bandit,代码审计,安全开发。
Horusec多语言静态应用安全扫描器Skill sast-horusec
Horusec 是一款强大的开源多语言静态应用安全测试工具,支持 18 种以上编程语言和 20 多种安全分析引擎。它能高效执行代码漏洞扫描、Git 历史记录中的秘密检测,并可与 CI/CD 管道无缝集成,助力构建安全的软件开发生命周期。关键词:静态应用安全测试 SAST,多语言代码扫描,漏洞检测,秘密泄露检测,CI/CD 安全集成,DevSecOps,开源安全工具。
静态应用安全测试(SAST)工具Skill sast-semgrep
本技能是一个基于Semgrep的静态应用安全测试(SAST)解决方案,专为开发和安全团队设计。它提供自动化代码漏洞扫描、安全代码审查、OWASP Top 10与CWE框架映射、修复指导以及CI/CD流水线集成。核心功能包括多语言漏洞检测、模式化安全审查、自定义规则开发、合规性支持(如SOC2、PCI-DSS)和性能优化扫描。适用于提升软件开发生命周期(SDLC)中的安全性,实现左移安全(Shift-Left Security)。关键词:静态应用安全测试 SAST,Semgrep,代码安全扫描,漏洞检测,OWASP Top 10,CWE,安全代码审查,CI/CD安全,DevSecOps,应用程序安全。
SecretsDetectionwithGitleaksSkill secrets-gitleaks
Gitleaks是一个用于检测git仓库中硬编码秘密的工具,它通过正则表达式和熵分析来识别潜在的安全风险,如密码、API密钥等。这个技能提供了如何将Gitleaks集成到DevSecOps工作流程中的指导,强调在代码投入生产前防止秘密泄露。
安全架构师Skill security-architect
安全架构师技能专注于提供全面的安全架构和审计服务,包括威胁建模、OWASP Top 10 2025分析、AI安全评估、供应链安全、现代API认证等,确保软件和系统安全。关键词:安全架构、威胁建模、OWASP、AI安全、供应链安全、API认证。
防滥用API与配置分析Skill sharp-edges
用于识别API设计、配置模式和接口中的安全隐患,确保开发者在默认情况下遵循安全最佳实践。关键词:API安全、配置审计、防滥用设计、安全默认值、代码审查、易错识别、威胁建模、安全漏洞预防。
安全陷阱规避指南Skill pitfalls-security
本技能提供软件开发中常见安全陷阱的识别与规避模式,涵盖会话密钥管理、敏感数据缓存、结构化日志记录、环境变量处理等核心安全实践。适用于前后端开发、DevOps及安全审计场景,帮助开发者构建更安全的应用程序。关键词:会话密钥安全、缓存策略、日志脱敏、环境变量、AES-256-GCM、审计日志、安全编码。
安全哨兵Skill security-sentinel
安全哨兵技能用于在编写和审查API路由、实施认证授权、处理用户输入、数据库查询、文件操作、管理环境变量和机密、构建支付处理功能、实施会话管理、处理敏感数据或加密等场景下,审计代码以发现安全漏洞。它是支付处理、认证系统和数据处理的关键技能。
Convex安全审计Skill convex-security-audit
这个技能提供Convex应用程序的全面安全审计模式,涵盖授权逻辑、数据访问边界、动作隔离、速率限制和敏感操作保护。它帮助开发者在后端开发中实施多层次安全措施,确保应用免受滥用和攻击。适用于网络安全领域,提升应用安全性和合规性。关键词:Convex, 安全审计, 授权控制, 数据保护, 速率限制, 动作隔离, 敏感操作, 后端安全。