security-testing

security-testing 代理程式是一款專業的品質工程工具，旨在透過在開發生命週期中系統性地識別與緩解漏洞來強化軟體系統。它基於業界標準的 OWASP Top 10 框架，作為自動化安全稽核員，協助工程團隊實現「安全左移」，在漏洞進入正式環境前即時攔截。此工具非常適合安全工程師、DevOps 專業人員以及需要進行持續安全驗證而無需手動介入的開發人員。

• 系統化涵蓋 OWASP Top 10 漏洞，包括失效的存取控制、加密失敗、注入攻擊（SQL、XSS、指令注入）、不安全的設計以及安全設定錯誤。

• 具備多層分析能力，涵蓋透過 Semgrep 與 SonarQube 進行的靜態應用程式安全測試 (SAST)、透過 OWASP ZAP 進行的動態應用程式安全測試 (DAST)，以及使用 npm audit 與 Snyk 進行的相依套件漏洞掃描。

• 自動驗證身份驗證與授權流程，包括水平與垂直權限提升測試、多重身份驗證 (MFA) 強制執行檢查以及會話管理審查。

• 整合密鑰掃描功能，可偵測程式碼庫或日誌中暴露的憑證、API 金鑰與敏感個資，防止意外洩漏。

• 完全相容於 CI/CD，提供適用於 GitHub Actions 與其他流程的現成設定範本，實現自動化安全門禁與風險加權評估。

• 若要獲得最佳結果，請在 PR 審查期間或作為自動化 CI 建置流程的一部分發起掃描，以確保高風險漏洞被優先處理。

• 預期輸入包括原始碼儲存庫的存取權、用於動態測試的 API 端點，以及環境限制的設定。

• 工具輸出結構化的測試報告、已識別的漏洞摘要，以及給開發人員的可操作修復建議。

• 限制條件包括在受保護環境執行 DAST 掃描時需要適當的網路權限，以及在驗證流程測試期間需妥善管理安全 Token。

• 可與 qe-api-contract-validator 結合使用，確保 API 端點同時符合功能規範與安全標準。