code-security

code-security 技能为整个软件开发生命周期中的漏洞识别与防御提供了一套广泛的框架。此技能专为软件工程师、安全研究人员与 DevOps 专业人员设计，扮演自动化安全审查员的角色，协助监控代码中的常见缺陷。它针对 SQL 注入、指令注入、XSS、XXE、路径遍历、不安全的序列化以及硬编码密钥等重大风险，提供专业的缓解指南。除了应用代码外，它还为基础设施即代码（IaC）提供了详细的安全规则，包括 Terraform、Kubernetes、Docker 与 GitHub Actions，确保云端环境免于错误配置与未经授权的访问。

• 在编写或审查 Python、JavaScript/TypeScript、Java、Go、Ruby、PHP、C/C++、Rust 与 C# 等语言时，执行自动化的主动安全分析。

• 涵盖 28 种不同的规则类别，包括 OWASP Top 10、密码学最佳实践（SHA-256、AES）、安全传输（TLS/HTTPS）与验证标准（JWT、CSRF）。

• 为云端基础设施提供细致的安全检查，包括 AWS/Azure/GCP Terraform 提供者、容器安全（非 root 容器）与 CI/CD 安全（GitHub Actions）。

• 通过将安全问题映射至包含清晰“不正确”与“正确”代码实现对比的规则文件，提供反应式的指导。

• 针对 C 与 C++ 等低级语言提供内存安全性分析，以防范缓冲区溢出与释放后使用（use-after-free）漏洞。

• 在处理用户输入、数据库查询、网络请求、文件系统作业或验证逻辑时，请务必咨询此技能。

• 在代码审查、合并请求（PR）与架构设计阶段应用此技能，以便尽早识别风险。

• 实现云端配置时，利用针对 Terraform、Kubernetes 与 Docker 的基础设施模块来强制执行最小权限原则。

• 将提供的规则文件作为知识库，用以教育开发团队安全编码模式与威胁缓解措施。

• 请注意，此技能为诊断与教育工具；其目的在于辅助而非取代如 Semgrep 或动态安全测试（DAST）等自动化静态分析工具。