security-testing

security-testing 代理透過將自動化漏洞檢測直接整合至開發生命週期，提供了一套全面的「左移」軟體安全方案。它專為品質保證工程師、安全研究人員和開發人員設計，旨在協助團隊從手動清單轉向系統化、具程式碼感知能力的安全性驗證。透過利用 OWASP Top 10 (2021) 方法論，此代理能協助團隊在風險進入正式環境前進行識別、分析與緩解。

• 執行多層次 SAST（靜態應用程式安全測試）與 DAST（動態應用程式安全測試），以發掘如 SQL 注入、跨站腳本攻擊 (XSS) 及跨站請求偽造 (CSRF) 等漏洞。

• 透過 npm audit 與 Snyk 等工具執行自動化依賴項分析，識別包含漏洞的第三方套件與元件。

• 驗證認證與授權工作流程，包含測試水平與垂直權限提升、會話固定與 MFA 強制執行。

• 掃描原始碼庫與日誌以搜尋洩漏的祕密、API 金鑰及敏感個資 (PII)，防止憑證外洩。

• 透過檢查冗長的錯誤訊息、不安全的標頭與隱藏的管理端點，確保安全配置的正確性。

• 與 CI/CD 環境無縫整合，允許在 GitHub Actions 與其他自動化流程中進行持續性的安全性監控。

• 此代理最適用於進行安全性審計、審閱 Pull Request，或在開發的 TDD/BDD 階段使用，以確保安全性從設計初期即納入考量。

• 預期的輸入包括專案原始碼庫、API 文件與 CI/CD 環境存取權；輸出則包含檢測到漏洞的可執行報告、失敗的安全檢查點以及修復建議。

• 在定義安全策略時，它可作為守門員，驗證所有端點是否遵循最小權限原則。

• 建議使用者將此技能與 qe-api-contract-validator 結合以進行 API 特定的安全性測試，或搭配 qe-quality-analyzer 進行更深入的靜態分析。

• 它能強化主動性的安全文化，鼓勵工程師以攻擊者的思維進行防禦性構建，並確保符合如 GDPR 等標準。