安全技能Skill security

本技能专注于软件开发过程中的安全防护,提供自动化安全验证、代码漏洞扫描、依赖安全检查、密钥管理与合规性审计。核心功能包括:GPG/SSH密钥验证、使用Bandit/Semgrep进行代码安全扫描、pip-audit检查依赖漏洞、遵循OWASP Top 10安全规范。适用于开发、测试、发布全流程,确保应用安全。关键词:安全验证、漏洞扫描、合规审计、OWASP、代码安全、依赖安全、DevSecOps。

安全审计 0 次安装 0 次浏览 更新于 3/2/2026

名称: 安全 描述: 安全验证、漏洞扫描与合规性检查。

安全技能

安全验证、漏洞扫描与合规性检查。

激活方式

自动激活关键词:安全、漏洞、审计、OWASP、加密、GPG、SSH、签名、密钥、扫描、bandit

工作流程

环境验证

扫描

加密

命令

# 验证 GPG 密钥
gpg --list-secret-keys

# 验证 SSH 密钥
ssh-add -l

# 检查 Git 签名配置
git config --get user.signingkey

# 运行 Bandit 安全扫描器
uv run bandit -r src/ -c pyproject.toml

# 检查依赖项是否存在漏洞
uv run pip-audit
uv run safety check

# 运行 Semgrep 安全规则
uv run semgrep scan --config auto src/

安全检查清单

提交前

  • [ ] 代码中无密钥(通过 gitleaks 检查)
  • [ ] 依赖项已扫描漏洞
  • [ ] Bandit 安全扫描通过

发布前

  • [ ] 所有已知漏洞已处理
  • [ ] 已发布安全公告(如适用)
  • [ ] 依赖项已更新至安全版本

OWASP Top 10 注意事项

  1. 注入攻击: 使用参数化查询,验证输入
  2. 身份验证失效: 使用安全的会话管理
  3. 敏感数据泄露: 对静态和传输中的敏感数据进行加密
  4. XML 外部实体攻击: 禁用外部实体处理
  5. 访问控制失效: 实施适当的授权检查
  6. 安全配置错误: 使用安全默认设置
  7. 跨站脚本攻击: 转义输出,使用内容安全策略
  8. 不安全的反序列化: 验证和清理序列化数据
  9. 使用含有已知漏洞的组件: 保持依赖项更新
  10. 日志记录和监控不足: 记录安全事件,监控异常