security-audit

security-audit 技能为软件代理程序提供严谨的“安全性优先”架构，专注于在经过生产验证的环境中维护基础设施的完整性。该技能专为在 SAFe 方法论下工作的开发人员与 AI 代理程序设计，旨在强制执行严格的数据库隔离与安全编码规范。通过与 Prisma ORM、Clerk 身份验证以及标准安全性扫描工具的直接整合，它能有效防止 SQL 注入、硬编码密钥泄露及身份验证绕过等常见漏洞。

• 执行自动化的 RLS (数据列级别安全性) 验证，确保数据库操作通过上下文封装器（withUserContext, withAdminContext）正确地限定范围。
• 审核 API 路由处理程序，确保在访问敏感数据前已进行必要的身份验证检查，防止未经授权的端点访问。
• 扫描代码中的硬编码凭证与潜在密钥，确保符合环境变量管理的最佳实践。
• 验证 OWASP Top 10 风险项目，包括 A01 (失效的访问控制)、A03 (注入) 及 A06 (易受攻击的依赖包)。
• 整合 npm audit、yarn audit、grep 与 git-secrets 等标准 CLI 工具，进行持续的漏洞评估。
• 提供标准化的安全性审计报告模板，以利于部署前的审查与签核流程。
• 当检测到危险模式（如原始 SQL 插值或缺少身份验证检查）时，强制执行“停工”(Stop-the-Line) 条件。

在部署前安全性审查、代码重构或添加任何涉及数据库访问的新功能时，请使用此技能。它预期项目环境为 TypeScript 并使用 Next.js App Router，输出内容为按严重程度分类的可操作检查结果。该技能依赖现有的“安全性优先”文档（如架构决策记录 ADR 与策略目录）与标准项目安全性配置。每当需要审核身份验证流程、验证数据库纲要或准备生产环境的发布候选版本时，请务必调用此技能以最小化安全技术债。