security-review

security-review 技能是开发人员与 AI 代理在处理敏感软件组件时的主动安全屏障。通过执行严格的安全检查清单，它有助于在开发周期中识别漏洞，而非部署后才发现。此技能专为全栈开发人员、安全工程师及负责实现身份验证、API 开发或敏感数据操作的 AI 代理所设计。

• 对硬编码的密钥（包括 API 密钥、数据库凭证及身份验证令牌）进行自动化审计。

• 使用如 Zod 之类的架构验证库来处理用户输入，以防止常见的注入攻击与数据损坏。

• 强制执行数据库交互的参数化查询模式，以消除 SQL 注入漏洞。

• 审查身份验证与授权逻辑，确保会话管理使用如 httpOnly cookies 的安全协议，并确认已正确启用行级安全性 (RLS)。

• 提供通过 DOMPurify 进行 HTML 消毒以及实现内容安全策略 (CSP) 来预防跨站脚本攻击 (XSS) 的补救模式。

• 协助验证文件上传，通过检查文件大小、MIME 类型及扩展名来防止任意代码执行。

• 当构建涉及数据库、用户会话或对外 API 端点功能时，务必触发此技能。

• 使用它来验证环境变量是否被正确使用，而非硬编码字符串。

• 确保输入验证应用于所有外部来源，包含文件上传、URL 参数及请求主体。

• 记得验证安全标头（如 CSP）是否已套用于您的 Next.js 或 Node.js 设置中。

• 此技能会提供失败对比成功的代码示例，可直接应用于您当前的开发文件。

• 输出通常会包含检查清单验证报告，随后是建议的代码重构块，以确保您的实现符合行业安全标准。