Fähigkeiten Security Auditor
🛡️

Security Auditor

Sicher

Experten-Security-Audits und Compliance-Bewertungen durchführen

Organisationen haben Schwierigkeiten, Sicherheit in Entwicklungsworkflows zu integrieren und Compliance-Anforderungen zu erfüllen. Dieser Skill bietet umfassende Expertise für Security-Audits, einschließlich DevSecOps-Integration, Vulnerability-Assessment und regulatorischer Compliance-Beratung.

Unterstützt: Claude Codex Code(CC)
📊 69 Angemessen
1

Die Skill-ZIP herunterladen

2

In Claude hochladen

Gehe zu Einstellungen → Fähigkeiten → Skills → Skill hochladen

3

Einschalten und loslegen

Teste es

Verwendung von "Security Auditor". Security-Audit-Anfrage für REST-API mit JWT-Authentifizierung

Erwartetes Ergebnis:

  • Zusammenfassung der Sicherheitsbewertung
  • Kritisch: JWT-Tokens in localStorage gespeichert - anfällig für XSS. Empfehlung: httpOnly-Cookies mit SameSite=Strict verwenden
  • Hoch: Fehlende Rate-Limiting auf Authentifizierungsendpunkten - ermöglicht Brute-Force. Empfehlung: Rate-Limiting mit exponentiellem Backoff implementieren
  • Mittel: Keine Input-Validierung bei Benutzerregistrierung - potenzielle Injection. Empfehlung: Schema-Validierung und Sanitisierung hinzufügen
  • Niedrig: Fehlende Security-Header. Empfehlung: CSP-, HSTS-, X-Frame-Options-Header hinzufügen

Verwendung von "Security Auditor". DevSecOps-Pipeline-Design für Node.js-Anwendung

Erwartetes Ergebnis:

  • CI/CD-Security-Pipeline-Design
  • Pre-commit: Husky-Hooks mit eslint-plugin-security
  • Build-Stadium: npm audit, Snyk Dependency-Scanning, SonarQube SAST
  • Test-Stadium: OWASP ZAP DAST-Scan, Container-Image-Scanning mit Trivy
  • Deploy-Stadium: OPA-Policy-Validierung, Kubernetes Admission Controls
  • Post-Deploy: Kontinuierliches Monitoring mit Falco Runtime-Security

Sicherheitsaudit

Sicher
v1 • 2/25/2026

This is a prompt-only skill containing security auditing guidance and knowledge. No executable code, network calls, filesystem access, or external commands detected. The skill provides expert security knowledge without any security risks.

0
Gescannte Dateien
0
Analysierte Zeilen
0
befunde
1
Gesamtzahl Audits
Keine Sicherheitsprobleme gefunden
Auditiert von: claude

Qualitätsbewertung

38
Architektur
100
Wartbarkeit
87
Inhalt
32
Community
100
Sicherheit
74
Spezifikationskonformität

Was du bauen kannst

Security-Audit für Microservices

Umfassende Sicherheitsbewertung der Microservices-Architektur durchführen, einschließlich API-Sicherheit, Container-Sicherheit und DevSecOps-Pipeline-Integration.

Compliance-Readiness-Assessment

Vorbereitung auf SOC 2, GDPR oder HIPAA Compliance mit Gap-Analyse, Implementierungsleitfaden für Controls und Audit-Vorbereitungsdokumentation.

Threat-Modeling-Workshop

Strukturierte Threat-Modeling-Sitzungen mit STRIDE-Methodologie durchführen, um Sicherheitsrisiken in neuen Anwendungsentwürfen zu identifizieren und zu priorisieren.

Probiere diese Prompts

Grundlegende Sicherheitsüberprüfung 
Überprüfen Sie diesen Code-Schnipsel auf Sicherheitslücken. Identifizieren Sie alle OWASP-Top-10-Probleme, schlagen Sie Korrekturen vor und erklären Sie die Sicherheitsauswirkungen jedes Fundes.
DevSecOps-Pipeline-Setup 
Entwerfen Sie eine Security-Scanning-Pipeline für unseren CI/CD-Workflow. Include SAST, DAST, Dependency-Scanning und Container-Image-Scanning mit spezifischen Tool-Empfehlungen und Integrationsschritten.
Threat-Modeling-Sitzung 
Führen Sie Threat-Modeling für unsere Anwendung mit STRIDE-Methodologie durch. Die Anwendungsarchitektur umfasst: [Architektur beschreiben]. Identifizieren Sie Bedrohungen, bewerten Sie Risikostufen und empfehlen Sie Maßnahmen für jede Bedrohungskategorie.
Compliance-Gap-Analyse 
Führen Sie eine Gap-Analyse gegen [GDPR/HIPAA/SOC 2/ISO 27001]-Anforderungen durch. Überprüfen Sie unsere aktuellen Controls: [Controls beschreiben]. Identifizieren Sie Lücken, priorisieren Sie Sanierungsmaßnahmen und geben Sie Implementierungsleitfäden für jede Anforderung.

Bewährte Verfahren

  • Integrieren Sie Security-Scanning früh im Entwicklungslebenszyklus, um Schwachstellen zu finden, bevor sie die Produktion erreichen
  • Wenden Sie Defense-in-Depth-Prinzipien mit mehreren Security-Ebenen an, anstatt sich auf einzelne Controls zu verlassen
  • Automatisieren Sie Security-Validierung in CI/CD-Pipelines, um konsistente Security-Durchsetzung across Deployments sicherzustellen

Vermeiden

  • Invasive Security-Tests in Produktionsumgebungen ohne schriftliche Genehmigung und angemessene Sicherheitsmaßnahmen durchführen
  • Secrets in Umgebungsvariablen oder Konfigurationsdateien speichern, anstatt dedizierte Secrets-Management-Lösungen zu verwenden
  • Automatisierte Scan-Ergebnisse als vollständige Security-Validierung behandeln, ohne manuelle Überprüfung und Kontextanalyse

Häufig gestellte Fragen

Kann dieser Skill automatisierte Security-Scans durchführen?
Nein, dieser Skill bietet Expertise und Empfehlungen, kann aber keine automatisierten Scanning-Tools direkt ausführen. Verwenden Sie ihn, um Scanning-Strategien zu entwerfen, Ergebnisse zu interpretieren und Sanierung zu implementieren.
Ist dieser Skill für formale Compliance-Zertifizierung geeignet?
Dieser Skill bietet Leitfäden für Compliance-Implementierung, ersetzt aber keine formale Zertifizierungsprozesse. Verwenden Sie ihn zur Audit-Vorbereitung, Implementierung von Controls und zum Verständnis der Anforderungen. Engagieren Sie qualifizierte Auditoren für offizielle Zertifizierung.
Welche Compliance-Frameworks unterstützt dieser Skill?
Der Skill deckt wichtige Frameworks ab, einschließlich GDPR, HIPAA, PCI-DSS, SOC 2, ISO 27001 und NIST Cybersecurity Framework. Er kann bei der Implementierung von Controls und der Vorbereitung von Dokumentation für diese Standards helfen.
Kann ich diesen Skill für Penetrationstests verwenden?
Dieser Skill kann Penetrationstesting-Methodik leiten, bei der Interpretation von Funden helfen und Sanierung empfehlen. Allerdings sollten Penetrationstests von qualifizierten Profis mit entsprechender Autorisierung durchgeführt werden.
Funktioniert dieser Skill mit allen Programmiersprachen?
Ja, die Sicherheitsprinzipien und -methoden gelten across Sprachen. Der Job kann sprachspezifische Leitfäden für Secure-Coding-Praktiken in gängigen Sprachen wie JavaScript, Python, Java, Go und anderen bereitstellen.
Wie oft sollte ich Security-Audits mit diesem Skill durchführen?
Security-Audits sollten kontinuierlich in die Entwicklung integriert werden. Führen Sie Security-Reviews für jedes wichtige Feature durch, führen Sie umfassende Audits quartalsweise durch und erstellen Sie Threat-Modeling während Architekturdesignphasen.

Entwicklerdetails

Autor

sickn33

Lizenz

MIT

Repository

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/security-auditor

Ref

main

Dateistruktur

📄 SKILL.md