Python Security Scan

Python Security Scan 技能為 Python Web 應用程式提供強大且專案層級的安全審計套件。它是針對使用 Flask、Django 或 FastAPI 框架之專案的進階安全檢查工具，能有效地取代通用型安全檢查。透過整合靜態程式碼分析與套件依賴審計，此技能協助開發人員與安全工程師在部署前主動識別弱點。它完整涵蓋了 OWASP Top 10:2025 指南，並實作了框架專屬邏輯以偵測配置錯誤、不安全的身份驗證、注入漏洞與加密失敗等通用掃描器常忽略的問題。

• 執行全面的弱點掃描，包含 SQL/NoSQL/Command/LDAP 注入、不安全的序列化 (Insecure Deserialization) 以及認證與授權缺失。

• 具備針對 Flask（樣板注入、Session 安全）、Django（ORM 注入、CSRF）與 FastAPI（Pydantic 驗證、依賴注入）的框架專屬安全分析。

• 自動化相依套件審計，運用 pip-audit 或 safety 等工業標準工具識別 requirements 中的 CVE 漏洞。

• 掃描原始碼中的硬編碼密鑰、API 金鑰與不安全的憑證管理，並能智慧地處理敏感的環境變數檔案。

• 生成結構化且具行動建議的安全報告，並依據嚴重程度（CRITICAL 到 INFO）進行分類。

• 適用於程式碼審查、部署前的 CI/CD 檢查以及日常的安全健康檢查。

• 需要本地儲存庫的存取權限；預設會安全地跳過包含實際機密的 .env 檔案，除非使用者明確要求分析。

• 可透過快速掃描、完整掃描或目標掃描模式觸發，讓使用者能專注於反序列化、密碼學或框架設定等特定類別。

• 支援整合專案特定的安全文件與規範，確保掃描模式能隨安全威脅的變化即時更新。