security-testing

security-testing 代理程序是一款专业的质量工程工具，旨在通过在开发生命周期中系统性地识别与缓解漏洞来强化软件系统。它基于业界标准的 OWASP Top 10 框架，作为自动化安全审计员，协助工程团队实现“安全左移”，在漏洞进入正式环境前实时拦截。此工具非常适合安全工程师、DevOps 专业人员以及需要进行持续安全验证而无需手动介入的开发人员。

• 系统化涵盖 OWASP Top 10 漏洞，包括失效的访问控制、加密失败、注入攻击（SQL、XSS、指令注入）、不安全的设计以及安全配置错误。

• 具备多层分析能力，涵盖通过 Semgrep 与 SonarQube 进行的静态应用程序安全测试 (SAST)、通过 OWASP ZAP 进行的动态应用程序安全测试 (DAST)，以及使用 npm audit 与 Snyk 进行的依赖包漏洞扫描。

• 自动验证身份验证与授权流程，包括水平与垂直权限提升测试、多重身份验证 (MFA) 强制执行检查以及会话管理审查。

• 整合密钥扫描功能，可检测代码库或日志中暴露的凭证、API 密钥与敏感个人信息，防止意外泄漏。

• 完全兼容于 CI/CD，提供适用于 GitHub Actions 与其他流程的现成配置模板，实现自动化安全门禁与风险加权评估。

• 若要获得最佳结果，请在 PR 审查期间或作为自动化 CI 构建流程的一部分发起扫描，以确保高风险漏洞被优先处理。

• 预期输入包括源代码存储库的访问权、用于动态测试的 API 端点，以及环境限制的配置。

• 工具输出结构化的测试报告、已识别的漏洞摘要，以及给开发人员的可操作修复建议。

• 限制条件包括在受保护环境执行 DAST 扫描时需要适当的网络权限，以及在验证流程测试期间需妥善管理安全 Token。

• 可与 qe-api-contract-validator 结合使用，确保 API 端点同时符合功能规范与安全标准。