name: security-audit description: 安全审计与漏洞评估专家。适用于进行安全审查、分析代码漏洞、执行OWASP评估或创建安全审计报告时使用。 author: Joseph OBrien status: unpublished updated: ‘2025-12-23’ version: 1.0.1 tag: skill type: skill
安全审计技能
全面的安全审计,涵盖代码审查、漏洞评估、OWASP Top 10、依赖项分析和修复计划制定。
本技能功能
- 执行安全代码审查
- 识别漏洞(CVSS评分)
- 执行OWASP Top 10评估
- 审计身份验证/授权机制
- 审查数据保护控制措施
- 分析依赖项漏洞
- 创建修复路线图
使用场景
- 发布前的安全审查
- 合规性审计
- 渗透测试准备
- 事件响应分析
- 依赖项漏洞评估
参考文件
references/SECURITY_AUDIT.template.md- 全面的安全审计报告格式references/owasp_checklist.md- 包含CVSS评分和CWE参考的OWASP Top 10检查清单
工作流程
- 定义范围和方法论
- 执行静态/动态分析
- 按严重性记录发现
- 映射到OWASP类别
- 创建修复路线图
- 验证修复
输出格式
安全发现应包含:
- 严重性(严重/高/中/低)
- CVSS评分和向量
- CWE分类
- 概念验证
- 修复步骤