技能 Security Auditor
🛡️
Security Auditor
安全
执行专家安全审计和合规评估
组织难以将安全集成到开发工作流程中并满足合规要求。此技能提供全面的安全审计专业知识,包括DevSecOps集成、漏洞评估和监管合规指导。
支持: Claude Codex Code(CC)
1
下载技能 ZIP
2
在 Claude 中上传
前往 设置 → 功能 → 技能 → 上传技能
3
开启并开始使用
测试它
正在使用“Security Auditor”。 Security audit request for REST API with JWT authentication
预期结果:
- Security Assessment Summary
- Critical: JWT tokens stored in localStorage - vulnerable to XSS. Recommendation: Use httpOnly cookies with SameSite=Strict
- High: Missing rate limiting on authentication endpoints - enables brute force. Recommendation: Implement rate limiting with exponential backoff
- Medium: No input validation on user registration - potential injection. Recommendation: Add schema validation and sanitization
- Low: Missing security headers. Recommendation: Add CSP, HSTS, X-Frame-Options headers
正在使用“Security Auditor”。 DevSecOps pipeline design for Node.js application
预期结果:
- CI/CD Security Pipeline Design
- Pre-commit: Husky hooks with eslint-plugin-security
- Build Stage: npm audit, Snyk dependency scanning, SonarQube SAST
- Test Stage: OWASP ZAP DAST scan, container image scanning with Trivy
- Deploy Stage: OPA policy validation, Kubernetes admission controls
- Post-deploy: Continuous monitoring with Falco runtime security
安全审计
安全v1 • 2/25/2026
This is a prompt-only skill containing security auditing guidance and knowledge. No executable code, network calls, filesystem access, or external commands detected. The skill provides expert security knowledge without any security risks.
0
已扫描文件
0
分析行数
0
发现项
1
审计总数
未发现安全问题
审计者: claude
质量评分
38
架构
100
可维护性
87
内容
50
社区
100
安全
74
规范符合性
你能构建什么
微服务安全审计
对微服务架构进行全面的安全评估,包括API安全、容器安全和DevSecOps流水线集成。
合规就绪评估
通过差距分析、控制实施指导和审计准备文档,为SOC 2、GDPR或HIPAA合规做准备。
威胁建模研讨会
使用STRIDE方法论促进结构化威胁建模会议,以识别和优先处理新应用程序设计中的安全风险。
试试这些提示
基本安全审查
Review this code snippet for security vulnerabilities. Identify any OWASP Top 10 issues, suggest fixes, and explain the security impact of each finding.
DevSecOps流水线设置
Design a security scanning pipeline for our CI/CD workflow. Include SAST, DAST, dependency scanning, and container image scanning with specific tool recommendations and integration steps.
威胁建模会议
Perform threat modeling for our application using STRIDE methodology. The application architecture includes: [describe architecture]. Identify threats, assess risk levels, and recommend mitigations for each threat category.
合规差距分析
Conduct a gap analysis against [GDPR/HIPAA/SOC 2/ISO 27001] requirements. Review our current controls: [describe controls]. Identify gaps, prioritize remediation efforts, and provide implementation guidance for each requirement.
最佳实践
- 在开发生命周期早期集成安全扫描,以便在漏洞进入生产环境之前将其捕获
- 应用纵深防御原则,使用多个安全层而不是依赖单一控制
- 在CI/CD流水线中自动化安全验证,以确保跨部署的一致性安全执行
避免
- 在没有书面授权和适当保障措施的情况下在生产环境中运行侵入性安全测试
- 将密钥存储在环境变量或配置文件中,而不是使用专用的密钥管理解决方案
- 将自动化扫描结果视为完整的安全验证,而不进行手动审查和上下文分析
常见问题
此技能可以执行自动化安全扫描吗?
不,此技能提供专家指导和建议,但无法直接执行自动化扫描工具。将其用于设计扫描策略、解释结果和实施修复。
此技能是否适合正式合规认证?
此技能为合规实施提供指导,但不能替代正式认证流程。将其用于准备审计、实施控制和了解需求。邀请合格的审计员进行正式认证。
此技能支持哪些合规框架?
该技能涵盖主要框架,包括GDPR、HIPAA、PCI-DSS、SOC 2、ISO 27001和NIST网络安全框架。它可以帮助实施控制并为这些标准准备文档。
我可以使用此技能进行渗透测试吗?
此技能可以指导渗透测试方法论,帮助解释结果并建议修复。但是,实际的渗透测试应由具有适当授权的合格专业人员执行。
此技能适用于所有编程语言吗?
是的,安全原则和方法论适用于各种语言。该技能可以为流行语言(包括JavaScript、Python、Java、Go等)的安全编码实践提供特定语言的指导。
我应该多久使用此技能运行一次安全审计?
安全审计应持续集成到开发中。为每个重要功能运行安全审查,每季度进行全面审计,并在架构设计阶段进行威胁建模。