security-assessment

security-assessment 技能在 Agentic Startup 框架中扮演自动化安全工程师的角色。它提供严格的多层次评估流程，在部署前识别漏洞、评估风险并提出补救措施。通过整合行业标准的安全方法，确保您的系统架构和实现能防御常见的攻击向量与设计缺陷。此技能专为重视安全的开发人员、软件架构师与 DevOps 工程师设计，用于验证开发周期中的身份验证、授权、数据完整性与隐私控制。

• 执行全面的 STRIDE 威胁建模，以识别欺骗、篡改、抵赖、信息泄露、拒绝服务与权限提升等威胁。

• 针对七个核心领域进行深入的代码审查：身份验证与会话管理、授权检查、输入处理、数据暴露、密码学、第三方集成及错误处理。

• 根据安全编码标准验证基础设施配置，包括网络隔离、密钥管理与云端 IAM 策略。

• 参考 OWASP A01-A10 模式，确保 Web 应用程序安全符合当前全球标准。

• 自动生成按严重程度、影响范围与具体补救步骤分类的详细调查结果表格，以简化修复流程。

• 使用此技能前，请确保已定义系统组件与数据流，以便建立准确的威胁模型。

• 输出结果包含按优先级排序的问题清单；在继续部署前，请务必处理 CRITICAL 与 HIGH 等级的风险。

• 利用附带的检查清单，确保基础设施即代码（IaC）与容器安全性均已纳入考量。

• 在架构设计阶段与实现后审查时，务必使用此技能以维持深度防御架构。

• 请注意，此技能需要明确的输入参数（如目标系统、代码存储库或特定架构模块）以进行分析。