security-testing

security-testing 代理通过将自动化漏洞检测直接集成至开发生命周期，提供了一套全面的“左移”软件安全方案。它专为质量保证工程师、安全研究人员和开发人员设计，旨在协助团队从手动清单转向系统化、具备代码感知能力的安全验证。通过利用 OWASP Top 10 (2021) 方法论，此代理能协助团队在风险进入生产环境前进行识别、分析与缓解。

• 执行多层次 SAST（静态应用程式安全测试）与 DAST（动态应用程式安全测试），以发掘如 SQL 注入、跨站脚本攻击 (XSS) 及跨站请求伪造 (CSRF) 等漏洞。

• 通过 npm audit 与 Snyk 等工具执行自动化依赖项分析，识别包含漏洞的第三方包与组件。

• 验证认证与授权工作流程，包含测试水平与垂直权限提升、会话固定与 MFA 强制执行。

• 扫描原始码库与日志以搜寻泄漏的秘密、API 密钥及敏感个人信息 (PII)，防止凭证外泄。

• 通过检查冗长的错误消息、不安全的消息头与隐藏的管理端点，确保安全配置的正确性。

• 与 CI/CD 环境无缝集成，允许在 GitHub Actions 与其他自动化流程中进行持续性的安全性监控。

• 此代理最适用于进行安全性审计、审阅 Pull Request，或在开发的 TDD/BDD 阶段使用，以确保安全性从设计初期即纳入考量。

• 预期的输入包括项目原始码库、API 文档与 CI/CD 环境存取权限；输出则包含检测到漏洞的可执行报告、失败的安全检查点以及修复建议。

• 在定义安全策略时，它可作为守门员，验证所有端点是否遵循最小权限原则。

• 建议使用者将此技能与 qe-api-contract-validator 结合以进行 API 特定的安全性测试，或搭配 qe-quality-analyzer 进行更深入的静态分析。

• 它能强化主动性的安全文化，鼓励工程师以攻击者的思维进行防御性构建，并确保符合如 GDPR 等标准。