المهارات Security Auditor
🛡️

Security Auditor

آمن

Effectuer des audits de sécurité experts et des évaluations de conformité

Les organisations ont du mal à intégrer la sécurité dans les flux de travail de développement et à respecter les exigences de conformité. Cette compétence fournit une expertise complète en audit de sécurité, notamment l'intégration DevSecOps, l'évaluation des vulnérabilités et les conseils en conformité réglementaire.

يدعم: Claude Codex Code(CC)
🥉 72 برونزي
1

تنزيل ZIP المهارة

2

رفع في Claude

اذهب إلى Settings → Capabilities → Skills → Upload skill

3

فعّل وابدأ الاستخدام

اختبرها

استخدام "Security Auditor". Demande d'audit de sécurité pour API REST avec authentification JWT

النتيجة المتوقعة:

  • Résumé de l'évaluation de sécurité
  • Critique : JWT tokens stockés dans localStorage - vulnérables aux XSS. Recommandation : Utilisez des cookies httpOnly avec SameSite=Strict
  • Élevé : Absence de limitation de débit sur les endpoints d'authentification - permet les attaques par force brute. Recommandation : Implémentez une limitation de débit avec exponentiel backoff
  • Moyen : Aucune validation des entrées lors de l'inscription utilisateur - injection potentielle. Recommandation : Ajoutez une validation de schéma et une sanitization
  • Faible : Absence de headers de sécurité. Recommandation : Ajoutez les headers CSP, HSTS, X-Frame-Options

استخدام "Security Auditor". Conception du pipeline DevSecOps pour application Node.js

النتيجة المتوقعة:

  • Conception du pipeline de sécurité CI/CD
  • Pre-commit : Husky hooks avec eslint-plugin-security
  • Build Stage : npm audit, Snyk dependency scanning, SonarQube SAST
  • Test Stage : OWASP ZAP DAST scan, container image scanning avec Trivy
  • Deploy Stage : OPA policy validation, Kubernetes admission controls
  • Post-deploy : Surveillance continue avec Falco runtime security

التدقيق الأمني

آمن
v1 • 2/25/2026

This is a prompt-only skill containing security auditing guidance and knowledge. No executable code, network calls, filesystem access, or external commands detected. The skill provides expert security knowledge without any security risks.

0
الملفات التي تم فحصها
0
الأسطر التي تم تحليلها
0
النتائج
1
إجمالي عمليات التدقيق
لا توجد مشكلات أمنية
تم تدقيقه بواسطة: claude

درجة الجودة

38
الهندسة المعمارية
100
قابلية الصيانة
87
المحتوى
50
المجتمع
100
الأمان
74
الامتثال للمواصفات

ماذا يمكنك بناءه

Audit de sécurité pour microservices

Effectuer une évaluation de sécurité complète de l'architecture de microservices, y compris la sécurité des API, la sécurité des conteneurs et l'intégration du pipeline DevSecOps.

Évaluation de préparation à la conformité

Se préparer à la conformité SOC 2, GDPR ou HIPAA avec une analyse des écarts, des conseils sur la mise en œuvre des contrôles et une documentation de préparation à l'audit.

Atelier de modélisation des menaces

Faciliter des sessions structurées de modélisation des menaces utilisant la méthodologie STRIDE pour identifier et hiérarchiser les risques de sécurité dans les nouvelles conceptions d'applications.

جرّب هذه الموجهات

Examen de sécurité de base 
Examinez cet extrait de code pour les vulnérabilités de sécurité. Identifiez tous les problèmes OWASP Top 10, suggérez des correctifs et expliquez l'impact de sécurité de chaque finding.
Configuration du pipeline DevSecOps 
Concevez un pipeline d'analyse de sécurité pour notre workflow CI/CD. Incluez SAST, DAST, l'analyse des dépendances et l'analyse des images de conteneurs avec des recommandations d'outils spécifiques et des étapes d'intégration.
Session de modélisation des menaces 
Effectuez une modélisation des menaces pour notre application en utilisant la méthodologie STRIDE. L'architecture de l'application comprend : [décrivez l'architecture]. Identifiez les menaces, évaluez les niveaux de risque et recommandez des mesures d'atténuation pour chaque catégorie de menace.
Analyse des écarts de conformité 
Effectuez une analyse des écarts par rapport aux exigences [GDPR/HIPAA/SOC 2/ISO 27001]. Examinez nos contrôles actuels : [décrivez les contrôles]. Identifiez les écarts, hiérarchisez les efforts de remédiation et fournissez des conseils de mise en œuvre pour chaque exigence.

أفضل الممارسات

  • Intégrez l'analyse de sécurité t��t dans le cycle de vie de développement pour détecter les vulnérabilités avant qu'elles n'atteignent la production
  • Appliquez les principes de défense en profondeur avec plusieurs couches de sécurité plutôt que de vous fier à des contrôles uniques
  • Automatisez la validation de sécurité dans les pipelines CI/CD pour assurer une application cohérente des contrôles de sécurité entre les déploiements

تجنب

  • Exécuter des tests de sécurité intrusifs en environnement de production sans autorisation écrite et sauvegardes appropriées
  • Stocker des secrets dans des variables d'environnement ou des fichiers de configuration au lieu d'utiliser des solutions dédiées de gestion des secrets
  • Considérer les résultats d'analyses automatisées comme une validation de sécurité complète sans examen manuel et analyse du contexte

الأسئلة المتكررة

Cette compétence peut-elle effectuer des analyses de sécurité automatisées ?
Non, cette compétence fournit des conseils et des recommandations d'experts mais ne peut pas exécuter directement des outils d'analyse automatisés. Utilisez-la pour concevoir des stratégies d'analyse, interpréter les résultats et mettre en œuvre des mesures correctives.
Cette compétence convient-elle à la certification de conformité formelle ?
Cette compétence fournit des conseils pour la mise en œuvre de la conformité mais ne remplace pas les processus de certification formels. Utilisez-la pour vous préparer aux audits, mettre en œuvre des contrôles et comprendre les exigences. Engagez des auditeurs qualifiés pour la certification officielle.
Quels frameworks de conformité cette compétence prend-elle en charge ?
La compétence couvre les principaux frameworks, notamment GDPR, HIPAA, PCI-DSS, SOC 2, ISO 27001 et le NIST Cybersecurity Framework. Elle peut aider à mettre en œuvre des contrôles et à préparer la documentation pour ces normes.
Puis-je utiliser cette compétence pour les tests de pénétration ?
Cette compétence peut guider la méthodologie des tests de pénétration, aider à interpréter les résultats et recommander des mesures correctives. Cependant, les tests de pénétration réels doivent être effectués par des professionnels qualifiés avec autorisation appropriée.
Cette compétence fonctionne-t-elle avec tous les langages de programmation ?
Oui, les principes et méthodologies de sécurité s'appliquent à tous les langages. La compétence peut fournir des conseils spécifiques au langage pour les pratiques de codage sécurisé dans les langages populaires, notamment JavaScript, Python, Java, Go et autres.
À quelle fréquence dois-je effectuer des audits de sécurité avec cette compétence ?
Les audits de sécurité doivent être intégrés en continu dans le développement. Effectuez des examens de sécurité pour chaque fonctionnalité importante, des audits complets trimestriellement, et effectuez une modélisation des menaces lors des phases de conception de l'architecture.

تفاصيل المطور

المؤلف

sickn33

الترخيص

MIT

المستودع

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/security-auditor

مرجع

main

بنية الملفات

📄 SKILL.md