name: 安全测试计划 description: 计划安全测试策略,包括OWASP测试、渗透测试范围、SAST/DAST集成和基于威胁的测试用例设计。 allowed-tools: Read, Write, Glob, Grep, Task, WebSearch, WebFetch
安全测试计划
当使用此技能时
使用此技能时:
- 安全测试计划任务 - 计划应用程序的安全测试策略
- 规划或设计 - 需要关于OWASP测试、渗透测试范围、SAST/DAST的指导
- 最佳实践 - 希望遵循已建立的安全测试标准
概述
安全测试验证应用程序是否受到保护和免受威胁和漏洞的侵害。全面的安全测试策略结合了自动扫描、手动测试和基于威胁的测试用例设计。
安全测试金字塔
┌───────────┐
/ 渗透测试 \ 手动、专家
/ 红队测试 \ (季度)
/─────────────────\
/ DAST \ 动态扫描
/ (运行时) \ (每周/发布)
/───────────────────────\
/ SAST \ 静态分析
/ (构建时间) \ (每次提交)
/─────────────────────────────\
/ 秘密扫描 \ 预提交
/ 依赖扫描 \ (持续)
└───────────────────────────────────┘
快速参考:测试层
| 层 | 工具 | 频率 | 门控 |
|---|---|---|---|
| 层 1 (CI/CD) | Gitleaks, SonarQube, Snyk, Trivy | 每次提交 | 阻止关键 |
| 层 2 (周期) | OWASP ZAP, Burp, 42Crunch | 每周/发布 | 阻止高及以上 |
| 层 3 (手动) | 渗透测试, 代码审查 | 季度 | 阻止所有 |
OWASP Top 10 快速覆盖
| 类别 | 测试方法 |
|---|---|
| A01: 访问控制破坏 | 手动 + 自动化 |
| A02: 加密失败 | 代码审查 + SAST |
| A03: 注入 | SAST + DAST + 手动 |
| A04: 不安全设计 | 威胁建模 |
| A05: 安全配置错误 | 配置扫描 |
| A06: 易受攻击的组件 | SCA |
| A07: 认证失败 | 手动 + 自动化 |
| A08: 数据完整性 | 手动测试 |
| A09: 日志记录失败 | 日志审查 |
| A10: SSRF | DAST + 手动 |
修复SLA
| 严重性 | SLA | 验证 |
|---|---|---|
| 关键 | 24小时 | 立即重新测试 |
| 高 | 7天 | 下一个冲刺重新测试 |
| 中 | 30天 | 季度扫描 |
| 低 | 90天 | 年度审查 |
引用
| 引用 | 内容 | 何时加载 |
|---|---|---|
| 安全策略模板.md | 完整策略模板、范围、合规性、指标 | 规划安全测试策略 |
| owasp-testing.md | WSTG测试类别、测试用例模板 | 编写OWASP对齐的测试用例 |
| dotnet-security-tests.md | 认证、输入验证、速率限制测试 | 实现.NET安全测试 |
| sast-dast-integration.md | CI/CD门控、ZAP集成、工具比较 | 设置自动化安全扫描 |
集成点
来自的输入:
- 威胁模型 → 测试优先级
- 安全要求 → 覆盖目标
test-strategy-planning技能 → 整体策略
输出到:
- CI/CD管道 → 安全门控
devsecops-practices技能(安全插件) → 修复- 合规报告 → 证据
测试场景
场景 1: 规划安全测试策略
查询: “帮我为我们的Web应用程序创建一个安全测试计划”
预期: 技能激活,提供策略模板,指导范围和层
场景 2: OWASP对齐测试
查询: “我应该为认证运行哪些OWASP测试?”
预期: 技能激活,加载owasp-testing.md引用,提供WSTG-ATHN测试
场景 3: .NET安全测试
查询: “向我展示如何测试.NET中的SQL注入”
预期: 技能激活,加载dotnet-security-tests.md引用,提供代码示例
最后更新: 2025-12-28
版本历史
- v1.1.0 (2025-12-28): 重构为渐进披露 - 提取测试/模板到引用/
- v1.0.0 (2025-12-26): 初始发布