securityreview

该技能是一份专业的安全代码审查标准操作程序（SOP）文档，旨在为开发团队和安全工程师提供系统化的静态应用安全测试（SAST）方法论。作为纯指南型资产，它不提供自动化扫描功能，而是通过详细的检查清单和流程规范，指导人工进行深度安全审计。

核心用法涵盖七大类漏洞检测体系：从硬编码密钥识别、访问控制缺陷（IDOR、权限提升）、不安全数据处理（弱加密、PII泄露）、注入漏洞（SQLi、XSS、命令注入）、认证机制缺陷，到新兴的 LLM 安全（提示注入、输出处理）和隐私违规追踪。文档提供了每类漏洞的具体检测步骤、代码示例（含漏洞模式与修复方案）以及基于影响范围和利用难度的严重度评级标准（Critical/High/Medium/Low）。

显著优点在于其专业性和系统性。首先，它建立了严格的"高保真报告"原则，通过五项检查清单（直接证据、可修复性、可执行性等）强制要求减少误报，这对安全审计的实用性至关重要。其次，覆盖现代安全威胁如 LLM 提示注入和隐私污点分析，体现了内容的前沿性。再者，严重度评估矩阵提供了清晰的优先级判定依据，帮助团队合理分配修复资源。

潜在局限性主要包括：作为纯 Markdown 文档，它依赖人工执行所有检查步骤，无法替代自动化 SAST 工具；来源为个人开发者（T3 级），缺乏权威安全组织的背书；内容高度专业化，需要使用者具备扎实的安全知识背景才能正确理解和应用；其中的"漏洞示例"代码若被误解复制到生产环境，反而会造成风险。

适用群体主要是具备一定经验的安全工程师、技术负责人、代码审查人员以及需要建立内部安全审计流程的 DevSecOps 团队。对于初创公司或缺乏安全专家的团队，该文档可作为培训材料，但不建议作为唯一的安全审查依据。

使用风险方面，除来源可信度因素外，主要风险在于人工审计的覆盖度依赖执行者的专业能力，可能存在遗漏；安全威胁持续演变，文档中的漏洞模式库需要结合最新 CVE 和 OWASP 更新；另外，文档明确限制了自身的操作权限（仅只读工具），这虽是安全设计，但也意味着它无法直接修复发现的问题，需要额外的工具配合。