技能 security-scanning-security-hardening
🛡️

security-scanning-security-hardening

安全

协调安全扫描与加固

通过自动化 DevSecOps 工作流程,协调应用、基础设施和合规控制方面的全面安全扫描、漏洞修复和纵深防御加固。

支持: Claude Codex Code(CC)
⚠️ 66
1

下载技能 ZIP

2

在 Claude 中上传

前往 设置 → 功能 → 技能 → 上传技能

3

开启并开始使用

测试它

正在使用“security-scanning-security-hardening”。 Perform security hardening on my API service

预期结果:

Security hardening plan: Phase 1 - Vulnerability scanning completed. Found 3 critical SQL injection vulnerabilities. Phase 2 - Applied parameterized queries fix. Phase 3 - Implemented OAuth2 authentication, rate limiting, and AES-256 encryption. Phase 4 - Validated against OWASP Top 10, zero findings remaining.

正在使用“security-scanning-security-hardening”。 Help me prepare for SOC2 compliance

预期结果:

SOC2 compliance preparation: Implemented access controls with MFA, encrypted data at rest with AES-256 and in transit with TLS 1.3, configured security monitoring with ELK stack, established incident response procedures. Gap analysis shows 85% compliance readiness.

安全审计

安全
v1 • 2/25/2026

All 11 static findings evaluated as false positives. The skill is a legitimate defensive security orchestration tool for DevSecOps workflows. References to Metasploit, CIS Benchmarks, AES-256, and mobile security terms are all standard security industry practices. No malicious intent detected.

1
已扫描文件
150
分析行数
6
发现项
1
审计总数

高风险问题 (5)

SKILL.md:106
Metasploit Framework Reference
Line 106 references 'Metasploit' in penetration testing context. This is a standard authorized security testing tool used in legitimate security assessments.
SKILL.md:112SKILL.md:124
CIS Benchmarks Misidentified as C2 Keywords
Lines 112 and 124 contain 'CIS Benchmarks' (Center for Internet Security) - a legitimate compliance framework, not command and control (C2) malware.
SKILL.md:3SKILL.md:52SKILL.md:53SKILL.md:60SKILL.md:142
AES-256 Misidentified as Weak Cryptographic Algorithm
Lines 3, 52, 53, 60, and 142 reference 'AES-256' which is a strong cryptographic algorithm (not weak).
SKILL.md:78
Mobile Security Terms Flagged as Jailbreak Keywords
Line 78 references 'root/jailbreak detection' which is legitimate mobile app security hardening, not a jailbreak attempt.
SKILL.md:78
Secure Local Storage Reference
Line 78 references 'secure local storage with encryption' for mobile apps - legitimate security hardening guidance.
低风险问题 (1)
SKILL.md:33
System Reconnaissance Reference
Line 33 contains 'Avoid intrusive testing in production without approval' - defensive security guidance, not reconnaissance.
审计者: claude

质量评分

38
架构
100
可维护性
87
内容
50
社区
55
安全
91
规范符合性

你能构建什么

DevSecOps 安全自动化

将自动化安全扫描和加固集成到 CI/CD 流程中,及早发现漏洞并保持持续安全态势。

应用安全加固

为应用实施全面的安全控制,包括输入验证、加密、身份验证加固和安全配置。

合规准备

通过实施控制并为 OWASP、SOC2、CIS 和其他框架生成文档,为安全合规审计做准备。

试试这些提示

快速安全评估 
使用 security-scanning-security-hardening 技能对我的应用执行快速漏洞扫描。重点识别关键问题并提供优先级修复列表。
全面安全加固 
使用 security-scanning-security-hardening 技能为我的应用实施全面的安全加固。包括漏洞评估、后端安全控制、前端安全措施和合规验证。
合规框架验证 
使用 security-scanning-security-hardening 技能根据 OWASP ASVS Level 2 和 CIS 基准验证我的应用。生成合规差距分析和修复计划。
事件响应设置 
使用 security-scanning-security-hardening 技能为我的基础设施建立安全监控和 SIEM 集成。为关键安全事件配置自动化事件响应手册。

最佳实践

  • 首先在非生产环境中运行安全评估,然后再将更改应用到生产环境
  • 实施安全加固更改时始终保持回滚计划
  • 根据 CVSS 分数和业务影响确定修复优先级,而不仅仅依赖自动发现

避免

  • 不要跳过授权检查 - 运行安全扫描前务必验证您是否有权限
  • 不要在未先在暂存环境测试的情况下应用安全更改
  • 不要仅依赖自动扫描 - 对于关键系统,需结合手动安全审查

常见问题

此技能是否执行实际渗透测试?
不,此技能协调安全工作流程并协调代理。实际的渗透测试需要授权的工具和测试人员。
此技能是否可以在未经授权的情况下扫描外部系统?
不,此技能包含在未获批准的情况下避免侵入性测试的指导。扫描任何系统前务必确保您有明确授权。
此技能支持哪些合规框架?
此技能支持针对 OWASP ASVS、CIS 基准、SOC2 Type II、GDPR、HIPAA 和 PCI-DSS 框架的验证。
此技能是否需要安装任何特定工具?
此技能协调可能使用 Semgrep、OWASP ZAP、Snyk 或 GitLeaks 等工具进行扫描的 AI 代理。工具可用性取决于您的环境。
此技能是否会破坏我的生产应用?
安全加固更改可能会影响功能。务必首先在非生产环境中测试,并按照技能中的建议保持回滚计划。
全面安全加固需要多长时间?
此技能支持快速、标准 和全面扫描模式。跨所有阶段的全面加固可能需要数小时到数天,具体取决于应用的复杂性。

开发者详情

作者

sickn33

许可证

MIT

仓库

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/security-scanning-security-hardening

引用

main

文件结构

📄 SKILL.md