Auditing Security

Auditing Security 是一項專業的代理工作流，專為開發人員、安全工程師及 DevOps 團隊設計，旨在執行嚴格的程式碼級安全性評估。它能自動檢測常見漏洞，例如注入攻擊 (SQL, XSS, 命令注入)、身份驗證損壞、存取控制失效以及加密配置錯誤。透過將檢測結果與 OWASP Top 10、CVSS 評分以及 PCI-DSS 和 GDPR 等監管框架對齊，該工具確保安全性狀態不僅是可衡量的，且具備可執行性。此工具適用於特定功能的針對性調查，以及整個應用程式碼庫的全面性分析。

• 跨多種攻擊媒介進行自動漏洞掃描，包括注入、數據暴露及不安全的依賴項。

• 將調查結果系統性地對應至 OWASP Top 10 類別與 CWE 識別碼，以進行標準化報告。

• 生成專業等級的安全審核報告，包含執行摘要、風險優先級的修復計畫，以及具體的程式碼級修復建議。

• 支援上下文感知的分析，利用架構文檔、API 合約及系統設計規範來提高檢測準確度。

• 整合於開發生命週期的各個階段，包括部署前的安全檢查及事後鑑識調查。

• 提供待審核的程式碼庫或特定組件，以有效劃定分析範圍。

• 附上補充文件（如 docs/system-design.md 或 docs/api-contracts.yaml）協助代理理解授權模型與資料流。

• 輸入需求包含原始碼、已識別的威脅及現有的安全控制措施 (如 JWT, RBAC, TLS 配置)。

• 輸出結果經結構化處理，提供即時的修復指引，包括漏洞程式碼片段、用於驗證的攻擊情境，以及按嚴重程度排序的修復需求。

• 針對大型程式碼庫，代理採用平行掃描策略，高效覆蓋配置、依賴項及輸入驗證等範圍。