security-audit

security-audit 技能為軟體代理程式提供嚴謹的「安全性優先」架構，專注於在經過生產驗證的環境中維護基礎設施的完整性。該技能專為在 SAFe 方法論下工作的開發人員與 AI 代理程式設計，旨在強制執行嚴格的資料庫隔離與安全編碼規範。透過與 Prisma ORM、Clerk 身份驗證以及標準安全性掃描工具的直接整合，它能有效防止 SQL 注入、硬編碼密鑰洩漏及身份驗證繞過等常見漏洞。

• 執行自動化的 RLS (資料列層級安全性) 驗證，確保資料庫操作透過上下文封裝器（withUserContext, withAdminContext）正確地限定範圍。
• 審核 API 路由處理程式，確保在存取敏感資料前已進行必要的身份驗證檢查，防止未經授權的端點存取。
• 掃描程式碼中的硬編碼憑證與潛在密鑰，確保符合環境變數管理的最佳實踐。
• 驗證 OWASP Top 10 風險項目，包括 A01 (失效的存取控制)、A03 (注入) 及 A06 (易受攻擊的相依套件)。
• 整合 npm audit、yarn audit、grep 與 git-secrets 等標準 CLI 工具，進行持續的漏洞評估。
• 提供標準化的安全性審計報告模板，以利於部署前的審查與簽核流程。
• 當偵測到危險模式（如原始 SQL 插值或缺少身份驗證檢查）時，強制執行「停工」(Stop-the-Line) 條件。

在部署前安全性審查、程式碼重構或添加任何涉及資料庫存取的新功能時，請使用此技能。它預期專案環境為 TypeScript 並使用 Next.js App Router，輸出內容為按嚴重程度分類的可操作檢查結果。該技能依賴現有的「安全性優先」文件（如架構決策紀錄 ADR 與策略目錄）與標準專案安全性配置。每當需要審核身份驗證流程、驗證資料庫綱要或準備生產環境的發布候選版本時，請務必調用此技能以最小化安全技術債。