Auditing Security

Auditing Security 是一项专业的代理工作流，专为开发人员、安全工程师及 DevOps 团队设计，旨在执行严格的代码级安全性评估。它能自动检测常见漏洞，例如注入攻击 (SQL, XSS, 命令注入)、身份验证损坏、访问控制失效以及加密配置错误。通过将检测结果与 OWASP Top 10、CVSS 评分以及 PCI-DSS 和 GDPR 等监管框架对齐，该工具确保安全性状态不仅是可衡量的，且具备可执行性。此工具适用于特定功能的针对性调查，以及整个应用程序代码库的全面性分析。

• 跨多种攻击媒介进行自动漏洞扫描，包括注入、数据暴露及不安全的依赖项。

• 将调查结果系统性地对应至 OWASP Top 10 类别与 CWE 标识符，以进行标准化报告。

• 生成专业等级的安全审计报告，包含执行摘要、风险优先级的修复计划，以及具体的代码级修复建议。

• 支持上下文感知的分析，利用架构文档、API 合约及系统设计规范来提高检测准确度。

• 整合于开发生命周期的各个阶段，包括部署前的安全检查及事后鉴识调查。

• 提供待审计的代码库或特定组件，以有效划定分析范围。

• 附上补充文件（如 docs/system-design.md 或 docs/api-contracts.yaml）协助代理理解授权模型与数据流。

• 输入需求包含源代码、已识别的威胁及现有的安全控制措施 (如 JWT, RBAC, TLS 配置)。

• 输出结果经结构化处理，提供即时的修复指引，包括漏洞代码片段、用于验证的攻击情境，以及按严重程度排序的修复需求。

• 针对大型代码库，代理采用并行扫描策略，高效覆盖配置、依赖项及输入验证等范围。