security-review

security-review 技能是開發人員與 AI 代理在處理敏感軟體組件時的主動安全屏障。透過執行嚴格的安全檢查清單，它有助於在開發週期中識別漏洞，而非部署後才發現。此技能專為全端開發人員、安全工程師及負責實作身份驗證、API 開發或敏感資料操作的 AI 代理所設計。

• 對硬編碼的密鑰（包括 API 金鑰、資料庫憑證及身份驗證令牌）進行自動化審計。

• 使用如 Zod 之類的架構驗證庫來處理用戶輸入，以防止常見的注入攻擊與資料損壞。

• 強制執行資料庫互動的參數化查詢模式，以消除 SQL 注入漏洞。

• 審查身份驗證與授權邏輯，確保會話管理使用如 httpOnly cookies 的安全協定，並確認已正確啟用行級安全性 (RLS)。

• 提供透過 DOMPurify 進行 HTML 消毒以及實作內容安全策略 (CSP) 來預防跨站腳本攻擊 (XSS) 的補救模式。

• 協助驗證檔案上傳，透過檢查檔案大小、MIME 類型及副檔名來防止任意代碼執行。

• 當建構涉及資料庫、用戶會話或對外 API 端點的功能時，務必觸發此技能。

• 使用它來驗證環境變數是否被正確使用，而非硬編碼字串。

• 確保輸入驗證應用於所有外部來源，包含檔案上傳、URL 參數及請求主體。

• 記得驗證安全標頭（如 CSP）是否已套用於您的 Next.js 或 Node.js 設定中。

• 此技能會提供失敗對比成功的代碼範例，可直接應用於您當前的開發檔案。

• 輸出通常會包含檢查清單驗證報告，隨後是建議的代碼重構區塊，以確保您的實作符合產業安全標準。