code-security

code-security 技能為整個軟體開發生命週期中的漏洞辨識與防禦提供了一套廣泛的框架。此技能專為軟體工程師、安全研究人員與 DevOps 專業人員設計，扮演自動化安全審查員的角色，協助監控程式碼中的常見缺陷。它針對 SQL 注入、指令注入、XSS、XXE、路徑遍歷、不安全的序列化以及硬編碼密鑰等重大風險，提供專業的緩解指南。除了應用程式碼外，它還為基礎架構即程式碼（IaC）提供了詳細的安全規則，包括 Terraform、Kubernetes、Docker 與 GitHub Actions，確保雲端環境免於錯誤設定與未經授權的存取。

• 在編寫或審查 Python、JavaScript/TypeScript、Java、Go、Ruby、PHP、C/C++、Rust 與 C# 等語言時，執行自動化的主動安全分析。

• 涵蓋 28 種不同的規則類別，包括 OWASP Top 10、密碼學最佳實踐（SHA-256、AES）、安全傳輸（TLS/HTTPS）與驗證標準（JWT、CSRF）。

• 為雲端基礎架構提供細緻的安全檢查，包括 AWS/Azure/GCP Terraform 提供者、容器安全（非 root 容器）與 CI/CD 安全（GitHub Actions）。

• 透過將安全問題映射至包含清晰「不正確」與「正確」程式碼實作對比的規則檔案，提供反應式的指導。

• 針對 C 與 C++ 等低階語言提供記憶體安全性分析，以防範緩衝區溢位與釋放後使用（use-after-free）漏洞。

• 在處理使用者輸入、資料庫查詢、網路請求、檔案系統作業或驗證邏輯時，請務必諮詢此技能。

• 在程式碼審查、合併請求（PR）與架構設計階段應用此技能，以便儘早辨識風險。

• 實作雲端組態時，利用針對 Terraform、Kubernetes 與 Docker 的基礎架構模組來強制執行最小權限原則。

• 將提供的規則檔案作為知識庫，用以教育開發團隊安全編碼模式與威脅緩解措施。

• 請注意，此技能為診斷與教育工具；其目的在於輔助而非取代如 Semgrep 或動態安全測試（DAST）等自動化靜態分析工具。