Auditing Security

「Auditing Security」技能提供了一個全面的框架，用於識別、分析與修復軟體漏洞。此技能專為安全工程師、開發人員與合規專員設計，能協助進行嚴謹的安全性審查、部署前評估與事故後鑑識分析。透過運用 OWASP Top 10、CVSS 評分、以及 PCI-DSS、GDPR 與 HIPAA 等合規協議等業界標準框架，此工具能確保安全性評估符合嚴格指標。它特別適用於審查架構設計、API 規格與複雜的程式碼庫實作，幫助團隊從基礎的代碼檢查進化到識別複雜的攻擊路徑與邏輯漏洞。

• 自動識別安全性漏洞，包括注入攻擊 (SQLi, XSS, 指令注入)、存取控制失效與加密失效。

• 針對驗證與授權流程（如 JWT、RBAC、ABAC 與工作階段管理）進行結構化安全審查。

• 提供具優先級的修復計畫，附帶可執行的程式碼修復建議與詳細的漏洞利用情境說明。

• 聚焦合規性的分析，將發現的漏洞對應至 OWASP 類別、CWE 編號與按嚴重性排序的 CVSS 分數。

• 透過平行掃描代理程式，將大型且複雜的程式碼庫拆解為多個目標審查領域（注入、資料洩漏、配置、相依套件）。

• 透過整合系統設計文件、API 合約與功能實作規格，支援具備架構認知能力的安全審查。

• 用於安全性開發的關鍵階段，包括部署前的程式碼審查與 CI/CD 流程整合。

• 透過提供 system-design.md 或 api-contracts.yaml 作為背景資訊，提升威脅建模與影響分析的準確度。

• 若涉及個人識別資訊 (PII)、財務或健康資料，請在稽核查詢中明確定義資料敏感度等級。

• 使用提供的發現記錄格式來標準化報告，確保稽核週期與團隊溝通的一致性。

• 透過檢查過時套件、已知 CVE 與供應鏈風險，執行對相依套件的持續監控與審計。