find-bugs

find-bugs 技能為在合併代碼前提供專家級的系統化審計工作流。專為 Claude Code、Cursor 及 Gemini CLI 等 AI 編碼代理設計，此工具強制對本地分支差異進行嚴格檢查，以識別高風險安全漏洞、關鍵軟體缺陷及重大代碼品質問題。對於需要結構化審計以確保新代碼未在身份驗證、授權或數據庫操作等敏感區域引入回歸或安全漏洞的開發者與安全工程師而言，它是理想的選擇。

• 對當前分支與預設分支之間的 Git 差異進行完整的遞歸掃描，確保不會遺漏任何變更行。

• 執行攻擊面映射階段，識別敏感輸入、數據庫查詢、身份驗證檢查、會話狀態轉換及加密操作。

• 實施全面的多點安全檢查清單，涵蓋 SQL 注入、XSS、CSRF、競態條件 (TOCTOU)、資訊洩露及業務邏輯缺陷。

• 進行總結前的審計流程，要求對所有審查檔案進行明確確認，並對每項檢查清單條目提供驗證狀態。

• 生成優先級明確的可執行報告，按嚴重程度（嚴重/高/中/低）排序，並為每個發現的問題提供問題描述、證據、修復建議及參考資料。

• 當您需要審計敏感代碼變更或審查專注於安全性和可靠性的 PR 時，請使用此工具。

• 代理需存取 Git 歷史紀錄及本地檔案系統；請確保環境具有必要的讀取權限。

• 優先處理安全及功能性缺陷，而非風格或格式偏好，以保持高質量的輸出訊號。

• 不會執行自動化的代碼重構或補丁應用；它提供分析結果與建議供開發者審閱並執行。

• 若差異輸出被截斷，代理會被指示逐一讀取檔案，直到完全理解變更範圍。

• 與標準開發工作流整合，在將潛在問題標記為真實漏洞之前，先行驗證現有測試或防禦措施的存在性。