Security Code Review

此技能作為軟體專案的自動化安全審計員，專門針對 OWASP Top 10 關鍵 Web 應用程式安全風險。專為開發人員與安全工程師設計，它能對程式碼庫進行系統性掃描，識別如注入攻擊、認證失效、敏感資料外洩及不安全的反序列化等常見缺陷。它在審查 Java、Python 與 JavaScript 應用程式時特別有效，能提供可操作的程式碼層級改進建議，以增強軟體抵禦現代威脅的能力。

• 透過標記未經清理的使用者輸入與危險執行模式，偵測 SQL、NoSQL 與指令注入漏洞。

• 識別認證失效流程，例如硬編碼或弱密碼以及不安全的 Session 管理。

• 掃描敏感資料外洩問題，包括硬編碼的 API 金鑰、未遮蔽的日誌資料以及不安全錯誤報告。

• 檢查常見錯誤配置，例如在生產環境啟用除錯模式，或是 Spring Boot 與 Flask 應用程式中遺漏的安全標頭。

• 分析 XML 解析邏輯以偵測 XXE（XML 外部實體）風險，並審核反序列化流程以防止物件注入攻擊。

• 評估前端程式碼是否存在 XSS（跨站腳本）漏洞，標記在 DOM 或 HTML 範本中處理使用者內容時的不當做法。

• 提供特定檔案或程式碼片段給代理程式以觸發重點安全掃描；若需進行全面審計，請指定應用程式模組的根目錄。

• 預期輸出將包含識別出的漏洞、安全風險說明，以及使用 industry-standard 函式庫（如 BCrypt、Prepared Statements 或安全的 JSON 映射器）的替代安全程式碼。

• 在開發生命週期中使用此技能，建議於 Pull Request 或 pre-commit 階段執行，以確保安全最佳實踐納入程式碼庫。

• 請記住，此工具雖能自動化識別漏洞，但無法完全取代完整的人工滲透測試或架構安全審查。

• 請務必使用環境變數存放機密資訊，避免將生產環境憑證貼入對話介面進行分析。