security-assessment

security-assessment 技能在 Agentic Startup 框架中扮演自動化安全工程師的角色。它提供嚴格的多層次評估流程，在部署前識別漏洞、評估風險並提出補救措施。通過整合行業標準的安全方法，確保您的系統架構和實作能防禦常見的攻擊向量與設計缺陷。此技能專為重視安全的開發人員、軟體架構師與 DevOps 工程師設計，用於驗證開發週期中的身份驗證、授權、資料完整性與隱私控制。

• 執行全面的 STRIDE 威脅建模，以識別偽造、篡改、否認、資訊洩漏、拒絕服務與權限提升等威脅。

• 針對七個核心領域進行深入的程式碼審查：身份驗證與會話管理、授權檢查、輸入處理、資料暴露、密碼學、第三方整合及錯誤處理。

• 根據安全編碼標準驗證基礎設施配置，包括網路隔離、密鑰管理與雲端 IAM 策略。

• 參考 OWASP A01-A10 模式，確保 Web 應用程式安全符合當前全球標準。

• 自動生成按嚴重程度、影響範圍與具體補救步驟分類的詳細調查結果表格，以簡化修復流程。

• 使用此技能前，請確保已定義系統組件與資料流，以便建立準確的威脅模型。

• 輸出結果包含按優先順序排序的問題清單；在繼續部署前，請務必處理 CRITICAL 與 HIGH 等級的風險。

• 利用附帶的檢查清單，確保基礎設施即程式碼（IaC）與容器安全性均已納入考量。

• 在架構設計階段與實作後審查時，務必使用此技能以維持深度防禦架構。

• 請注意，此技能需要明確的輸入參數（如目標系統、程式碼儲存庫或特定架構模組）以進行分析。