Security code review

🛡️ 企业级代码安全审计与隐私合规检测

资深安全审计专家,专注代码漏洞扫描与隐私合规分析,涵盖硬编码密钥、访问控制、注入攻击、LLM安全等全维度检测

收藏
7.8k
安装
2.4k
版本
1.0.0
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心功能

Security Analysis Guidelines 是一套企业级静态应用安全测试(SAST)框架,专为识别源代码中的安全漏洞与隐私风险而设计。该技能以「选择性行动」为首要原则,仅在用户明确请求安全分析时激活,确保资源精准投放。

显著优势

全维度漏洞覆盖:构建七层防御体系,包含硬编码密钥检测(1.1)、访问控制缺陷(1.2)、不安全数据处理(1.3)、注入攻击防护(1.4)、认证机制审计(1.5)、LLM 安全专项(1.6)及隐私合规分析(1.7)。特别针对 AI 时代的 Prompt Injection、LLM 输出污染等新型攻击向量提供系统化检测方案。

高精度证据链:严格遵循「直接证据原则」,所有发现必须基于可观测代码行,禁止依赖外部假设。通过「隐私污点分析」技术,精准追踪 PII/SPI 数据从来源(Source)到暴露点(Sink)的完整流转路径。

四级 severity 评估:建立 Critical/High/Medium/Low 量化评级体系,结合影响范围与利用复杂度,为修复优先级提供数据支撑。

五维准入过滤:最终报告前执行可执行代码定位、具体行号确认、直接证据核验、可操作修复方案、真实风险影响五项强制校验,将误报率压降至理论最低。

局限性与约束

  • 只读分析限制:仅能使用 ls -Rgrepread-file 等只读工具,无法动态执行或模糊测试
  • 单文件视角:缺乏跨模块、跨服务的完整调用链追踪能力
  • 框架依赖推断:对第三方库的安全特性依赖文档与公开 CVE 记录
  • 无运行时覆盖:无法检测条件竞争、业务逻辑漏洞等动态缺陷

适用人群

  • 企业 DevSecOps 团队的安全门禁(Security Gate)角色
  • 需满足 GDPR、CCPA 等隐私法规合规的跨境业务开发团队
  • 集成 AI/LLM 能力的新型应用架构师
  • 金融、医疗、政务等高监管行业的代码审计人员

常规风险

该技能本身为防御性工具,但存在以下使用风险:

  • 过度依赖风险:自动化规则无法替代人工渗透测试与威胁建模
  • 上下文缺失:文件命名与目录结构推断可能产生误报或漏判
  • 零日盲区:对未公开漏洞模式或定制化攻击向量无感知能力
  • 修复建议局限:仅提供代码级修复方案,不涉及架构重构或纵深防御策略

Security code review 内容

手动下载zip · 8.2 kB
skill-card.mdtext/markdown
请选择文件