Навыки Security Auditor
🛡️

Security Auditor

Безопасно

Проведение экспертных аудитов безопасности и оценок соответствия требованиям

Организации сталкиваются с трудностями при интеграции безопасности в процессы разработки и выполнении требований соответствия. Этот навык предоставляет комплексную экспертизу в области аудита безопасности, включая интеграцию DevSecOps, оценку уязвимостей и руководство по регуляторному соответствию.

Поддерживает: Claude Codex Code(CC)
📊 69 Адекватно
1

Скачать ZIP навыка

2

Загрузить в Claude

Перейдите в Settings → Capabilities → Skills → Upload skill

3

Включите и начните использовать

Протестировать

Использование «Security Auditor». Security audit request for REST API with JWT authentication

Ожидаемый результат:

  • Резюме оценки безопасности
  • Критично: JWT-токены хранятся в localStorage - уязвимо для XSS. Рекомендация: использовать httpOnly cookies с SameSite=Strict
  • Высокий приоритет: Отсутствует ограничение частоты запросов на конечных точках аутентификации - возможна атака перебором. Рекомендация: внедрить ограничение частоты с экспоненциальной задержкой
  • Средний приоритет: Отсутствует валидация входных данных при регистрации пользователя - потенциальная инъекция. Рекомендация: добавить валидацию схемы и санитизацию
  • Низкий приоритет: Отсутствуют заголовки безопасности. Рекомендация: добавить CSP, HSTS, X-Frame-Options заголовки

Использование «Security Auditor». DevSecOps pipeline design for Node.js application

Ожидаемый результат:

  • Дизайн конвейера безопасности CI/CD
  • Pre-commit: Husky hooks с eslint-plugin-security
  • Этап сборки: npm audit, сканирование зависимостей Snyk, SAST SonarQube
  • Этап тестирования: DAST-сканирование OWASP ZAP, сканирование образов контейнеров с Trivy
  • Этап развёртывания: валидация политик OPA, контроллеры допуска Kubernetes
  • После развёртывания: непрерывный мониторинг с runtime-безопасностью Falco

Аудит безопасности

Безопасно
v1 • 2/25/2026

This is a prompt-only skill containing security auditing guidance and knowledge. No executable code, network calls, filesystem access, or external commands detected. The skill provides expert security knowledge without any security risks.

0
Просканировано файлов
0
Проанализировано строк
0
находки
1
Всего аудитов
Проблем безопасности не найдено
Проверено: claude

Оценка качества

38
Архитектура
100
Сопровождаемость
87
Контент
32
Сообщество
100
Безопасность
74
Соответствие спецификации

Что вы можете построить

Аудит безопасности для микросервисов

Проведение комплексной оценки безопасности архитектуры микросервисов, включая безопасность API, безопасность контейнеров и интеграцию конвейера DevSecOps.

Оценка готовности к соответствию требованиям

Подготовка к соответствию требованиям SOC 2, GDPR или HIPAA с анализом разрывов, руководством по внедрению контроля и документацией для подготовки к аудиту.

Семинар по моделированию угроз

Проведение структурированных сессий моделирования угроз с использованием методологии STRIDE для выявления и приоритизации рисков безопасности в новых дизайнах приложений.

Попробуйте эти промпты

Базовый обзор безопасности 
Review this code snippet for security vulnerabilities. Identify any OWASP Top 10 issues, suggest fixes, and explain the security impact of each finding.
Настройка конвейера DevSecOps 
Design a security scanning pipeline for our CI/CD workflow. Include SAST, DAST, dependency scanning, and container image scanning with specific tool recommendations and integration steps.
Сессия моделирования угроз 
Perform threat modeling for our application using STRIDE methodology. The application architecture includes: [describe architecture]. Identify threats, assess risk levels, and recommend mitigations for each threat category.
Анализ разрывов соответствия 
Conduct a gap analysis against [GDPR/HIPAA/SOC 2/ISO 27001] requirements. Review our current controls: [describe controls]. Identify gaps, prioritize remediation efforts, and provide implementation guidance for each requirement.

Лучшие практики

  • Интегрируйте сканирование безопасности на ранних этапах жизненного цикла разработки для выявления уязвимостей до их попадания в production
  • Применяйте принципы многоуровневой защиты с несколькими слоями безопасности вместо reliance на единичные контроли
  • Автоматизируйте валидацию безопасности в конвейерах CI/CD для обеспечения согласованного применения безопасности во всех развёртываниях

Избегать

  • Выполнение интрузивных тестов безопасности в production-средах без письменного разрешения и надлежащих мер защиты
  • Хранение секретов в переменных окружения или конфигурационных файлах вместо использования специализированных решений управления секретами
  • Рассмотрение результатов автоматизированного сканирования как полной валидации безопасности без ручного просмотра и анализа контекста

Часто задаваемые вопросы

Может ли этот навык выполнять автоматизированное сканирование безопасности?
Нет, этот навык предоставляет экспертные рекомендации, но не может напрямую выполнять автоматизированные инструменты сканирования. Используйте его для разработки стратегий сканирования, интерпретации результатов и внедрения исправлений.
Подходит ли этот навык для формальной сертификации соответствия?
Этот навык предоставляет руководство по внедрению соответствия требованиям, но не заменяет формальные процессы сертификации. Используйте его для подготовки к аудитам, внедрения контролей и понимания требований. Привлекайте квалифицированных аудиторов для официальной сертификации.
Какие фреймворки соответствия поддерживает этот навык?
Навык охватывает основные фреймворки, включая GDPR, HIPAA, PCI-DSS, SOC 2, ISO 27001 и NIST Cybersecurity Framework. Он может помочь во внедрении контролей и подготовке документации для этих стандартов.
Могу ли я использовать этот навык для тестирования на проникновение?
Этот навык может предоставить руководство по методологии тестирования на проникновение, помочь интерпретировать результаты и рекомендовать исправления. Однако фактическое тестирование на проникновение должно выполняться квалифицированными специалистами с надлежащим разрешением.
Работает ли этот навык со всеми языками программирования?
Да, принципы безопасности и методологии применимы к любым языкам. Навык может предоставить специфичные для языка рекомендации по практикам безопасного кодирования на популярных языках, включая JavaScript, Python, Java, Go и другие.
Как часто следует проводить аудиты безопасности с этим навыком?
Аудиты безопасности должны быть постоянно интегрированы в разработку. Проводите обзоры безопасности для каждой значимой функции, выполняйте комплексные аудиты ежеквартально и проводите моделирование угроз на этапах проектирования архитектуры.

Сведения для разработчиков

Автор

sickn33

Лицензия

MIT

Репозиторий

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/security-auditor

Ссылка

main

Структура файлов

📄 SKILL.md