安全审计 Skill技能列表
AI工厂安全检查清单Skill ai-factory.security-checklist
这个技能提供基于OWASP Top 10的全面安全审计清单,用于代码安全审查、部署前漏洞评估和日常安全检查,涵盖认证、注入、XSS、CSRF、秘密管理等关键领域。关键词:安全审计、OWASP、安全检查、漏洞扫描、代码安全、网络安全、安全清单、部署前检查、安全测试。
STRIDE分析模式Skill stride-analysis-patterns
这个技能应用STRIDE方法论来系统识别系统安全威胁,适用于威胁建模会话、系统架构分析和安全文档创建。关键词:STRIDE,威胁建模,安全分析,系统安全,威胁识别,安全审计,漏洞挖掘。
Python安全扫描工具Skill sast-bandit
Bandit是一款专业的Python代码安全扫描工具,专注于静态应用程序安全测试(SAST)。它能自动检测Python代码中的安全漏洞、硬编码密钥、SQL注入、命令注入等常见风险,并提供详细的严重性分级和修复建议。该工具支持CWE和OWASP安全框架映射,可集成到CI/CD流水线中,帮助开发团队在开发早期发现并修复安全问题,提升代码安全性。关键词:Python安全扫描,静态代码分析,SAST工具,漏洞检测,CI/CD安全,Bandit,代码审计,安全开发。
漏洞扫描器Skill vulnerability-scanner
漏洞扫描器是一款专业的软件安全检测工具,用于执行全面的安全漏洞扫描,包括依赖项和代码分析。该工具集成CVE数据库(如NVD、GitHub Advisory)和主流安全平台(如Snyk、Trivy),能够识别、评估和优先处理安全风险。主要功能包括:CVE数据库检查、CVSS严重性评估、可利用性分析、补丁可用性检查、传递性漏洞链映射和风险评分。适用于DevOps安全、代码迁移、云原生安全、软件供应链安全等场景,帮助开发团队实现自动化安全检测、合规性验证和漏洞修复规划。
秘密检测技能Skill secrets-detector
秘密检测技能用于识别和防范源代码中的硬编码敏感信息,如API密钥、密码和凭据,以提高软件安全性并防止泄露,涉及代码审计、安全合规和DevSecOps,关键词包括秘密检测、API密钥扫描、代码安全审计、安全漏洞预防。
威胁狩猎Skill threat-hunting
威胁狩猎是一种主动安全分析技能,用于在安全威胁造成损害前识别和应对漏洞、异常行为和潜在入侵。关键词包括安全审计、漏洞挖掘、日志分析、威胁检测、渗透测试、安全监控。
主机安全健康检查Skill healthcheck
这个技能专注于主机安全硬化和风险评估,特别针对运行 Otto 的部署环境。它通过安全审计、防火墙配置、更新状态检查、风险容忍度评估和定期监控,帮助用户确保主机安全,并优化其风险姿态,提高整体安全水平。关键词:主机安全、风险评估、Otto 部署、安全审计、防火墙硬化、SSH 配置、更新管理、定期监控。
SARIF解析技能Skill sarif-parsing
SARIF解析技能专注于读取、分析和处理SARIF(静态分析结果交换格式)文件,支持处理安全扫描结果、聚合多工具发现、去重警报、提取特定漏洞,以及集成到CI/CD管道中,助力安全审计和代码质量评估。关键词:SARIF、静态分析、安全扫描、CI/CD、漏洞挖掘、代码审计、安全工具集成。
安全审计技能Skill security-audit
该技能用于安全审计,包括RLS验证、OWASP合规性检查和漏洞扫描,适用于软件开发中的安全验证和审计任务。关键词:安全审计、RLS验证、OWASP合规、漏洞扫描、软件开发安全。
安全卫士Skill security-guardian
安全卫士是一个自动化代码安全审计工具,专门用于扫描项目中的硬编码密钥(如API密钥、令牌)和容器镜像漏洞(CVE)。它通过集成Trivy等工具,提供结构化报告,帮助开发团队及时发现并修复安全风险,确保代码库的清洁与安全。核心功能包括密钥泄露检测和容器安全扫描,是DevOps安全左移实践和云原生应用安全防护的关键组件。
安全陷阱规避指南Skill pitfalls-security
本技能提供软件开发中常见安全陷阱的识别与规避模式,涵盖会话密钥管理、敏感数据缓存、结构化日志记录、环境变量处理等核心安全实践。适用于前后端开发、DevOps及安全审计场景,帮助开发者构建更安全的应用程序。关键词:会话密钥安全、缓存策略、日志脱敏、环境变量、AES-256-GCM、审计日志、安全编码。
依赖审计Skill dependency-audit
依赖审计技能用于分析和修复项目依赖中的安全漏洞,通过工具如npm audit和pip-audit,帮助开发者识别和更新易受攻击的包,确保软件安全。关键词:依赖审计、安全漏洞、npm audit、pip-audit、CVE检查、漏洞修复、安全审计、DevOps集成。