核心用法
Security Reviewer 是面向安全审计场景的专项技能,适用于 SAST 静态扫描、渗透测试、基础设施安全评估及 DevSecOps 合规检查。其标准工作流包括:划定攻击面 → 自动化工具扫描 → 手工代码审计(聚焦认证授权、输入处理、加密实现)→ 授权范围内的主动验证 → 风险定级(Critical/High/Medium/Low)→ 输出可执行的修复报告。
显著优点
- 权威知识库:内置 OWASP Top 10、CWE、CVSS 评分体系,支持 Semgrep、Bandit、Trivy、Checkov 等主流工具链
- 双轨检测:强制要求"工具+人工"双重验证,降低漏报率
- 合规就绪:覆盖 CIS 基准、SOC2、ISO27001 等合规框架
- 风险可控:严格的授权边界(MUST NOT DO 清单),禁止未授权生产环境测试
局限与风险
- 依赖用户正确配置扫描范围,过度扫描可能导致服务中断
- 自动化工具存在误报,需人工二次确认
- 主动测试环节需明确授权,否则存在法律合规风险
- 不包含漏洞自动修复,需配合 Secure Code Guardian 技能落地补丁
适合人群
安全工程师、DevSecOps 实践者、需要合规审计的中小企业技术负责人、开源项目维护者
常规风险
- 操作风险:未遵循"先授权后测试"原则可能触发法律追责
- 数据风险:secrets 扫描可能意外暴露历史提交中的敏感凭证
- 业务风险:渗透测试未设置 rate limit 可能导致目标服务降级