Auditing Security

“Auditing Security”技能提供了一个全面的框架，用于识别、分析与修复软件漏洞。此技能专为安全工程师、开发人员与合规专员设计，能协助进行严谨的安全性审查、部署前评估与事故后鉴识分析。通过运用 OWASP Top 10、CVSS 评分、以及 PCI-DSS、GDPR 与 HIPAA 等合规协议等业界标准框架，此工具能确保安全性评估符合严格指标。它特别适用于审查架构设计、API 规格与复杂的代码库实现，帮助团队从基础的静态分析进化到识别复杂的攻击路径与逻辑漏洞。

• 自动识别安全性漏洞，包括注入攻击 (SQLi, XSS, 指令注入)、存取控制失效与加密失效。

• 针对验证与授权流程（如 JWT、RBAC、ABAC 与会话管理）进行结构化安全审查。

• 提供具备优先级的修复计划，附带可执行的代码修复建议与详细的漏洞利用情境说明。

• 聚焦合规性的分析，将发现的漏洞对应至 OWASP 类别、CWE 编号与按严重性排序的 CVSS 分数。

• 透过平行扫描代理程式，将大型且复杂的代码库拆解为多个目标审查领域（注入、数据泄露、配置、依赖包）。

• 透过整合系统设计文档、API 合约与功能实现规格，支持具备架构认知能力的安全审查。

• 用于安全性开发的关键阶段，包括部署前的代码审查与 CI/CD 流程整合。

• 透过提供 system-design.md 或 api-contracts.yaml 作为背景信息，提升威胁建模与影响分析的准确度。

• 若涉及个人识别信息 (PII)、财务或健康数据，请在稽核查询中明确定义数据敏感度等级。

• 使用提供的发现记录格式来标准化报告，确保审计周期与团队沟通的一致性。

• 透过检查过时依赖包、已知 CVE 与供应链风险，执行对依赖包的持续监控与审计。