Security Code Review

此技能作为软件项目的自动化安全审计员，专门针对 OWASP Top 10 关键 Web 应用程序安全风险。专为开发人员与安全工程师设计，它能对代码库进行系统性扫描，识别如注入攻击、认证失效、敏感数据外泄及不安全的反序列化等常见缺陷。它在审查 Java、Python 与 JavaScript 应用程序时特别有效，能提供可操作的代码层级改进建议，以增强软件抵御现代威胁的能力。

• 通过标记未经清理的用户输入与危险执行模式，侦测 SQL、NoSQL 与指令注入漏洞。

• 识别认证失效流程，例如硬编码或弱密码以及不安全的 Session 管理。

• 扫描敏感数据外泄问题，包括硬编码的 API 密钥、未遮蔽的日志数据以及不安全错误报告。

• 检查常见错误配置，例如在生产环境启用调试模式，或是 Spring Boot 与 Flask 应用程序中遗漏的安全标头。

• 分析 XML 解析逻辑以侦测 XXE（XML 外部实体）风险，并审核反序列化流程以防止对象注入攻击。

• 评估前端代码是否存在 XSS（跨站脚本）漏洞，标记在 DOM 或 HTML 模板中处理用户内容时的不当做法。

• 提供特定文件或代码片段给代理程序以触发重点安全扫描；若需进行全面审计，请指定应用程序模块的根目录。

• 预期输出将包含识别出的漏洞、安全风险说明，以及使用 industry-standard 库（如 BCrypt、Prepared Statements 或安全的 JSON 映射器）的替代安全代码。

• 在开发生命周期中使用此技能，建议于 Pull Request 或 pre-commit 阶段执行，以确保安全最佳实践纳入代码库。

• 请记住，此工具虽能自动化识别漏洞，但无法完全取代完整的人工渗透测试或架构安全审查。

• 请务必使用环境变量存放机密信息，避免将生产环境凭证贴入对话界面进行分析。