security-reviewer

核心用法

Security Reviewer 是面向安全审计场景的专项技能，适用于 SAST 静态扫描、渗透测试、基础设施安全评估及 DevSecOps 合规检查。其标准工作流包括：划定攻击面 → 自动化工具扫描 → 手工代码审计（聚焦认证授权、输入处理、加密实现）→ 授权范围内的主动验证 → 风险定级（Critical/High/Medium/Low）→ 输出可执行的修复报告。

显著优点

• 权威知识库：内置 OWASP Top 10、CWE、CVSS 评分体系，支持 Semgrep、Bandit、Trivy、Checkov 等主流工具链
• 双轨检测：强制要求"工具+人工"双重验证，降低漏报率
• 合规就绪：覆盖 CIS 基准、SOC2、ISO27001 等合规框架
• 风险可控：严格的授权边界（MUST NOT DO 清单），禁止未授权生产环境测试

局限与风险

• 依赖用户正确配置扫描范围，过度扫描可能导致服务中断
• 自动化工具存在误报，需人工二次确认
• 主动测试环节需明确授权，否则存在法律合规风险
• 不包含漏洞自动修复，需配合 Secure Code Guardian 技能落地补丁

适合人群

安全工程师、DevSecOps 实践者、需要合规审计的中小企业技术负责人、开源项目维护者

常规风险

• 操作风险：未遵循"先授权后测试"原则可能触发法律追责
• 数据风险：secrets 扫描可能意外暴露历史提交中的敏感凭证
• 业务风险：渗透测试未设置 rate limit 可能导致目标服务降级

核心用途

security-reviewer 是一款面向安全专业人员的专业级审计技能，专注于代码安全审查、漏洞识别、渗透测试及基础设施安全评估。该技能整合了静态应用安全测试（SAST）、依赖审计、秘密扫描、主动渗透测试和 DevSecOps 实践，为软件开发生命周期提供端到端的安全保障。

显著优势

权威方法论：深度整合 OWASP Top 10、CWE 漏洞分类、CVSS 评分标准及 CIS 基准，确保评估结果符合国际安全行业标准。内置六维安全检测框架（静态分析、动态行为、依赖审计、网络流量、隐私合规、威胁情报），覆盖现代应用安全的全攻击面。

结构化工作流：从范围界定、自动化扫描、人工代码审查到主动验证的六步标准流程，特别强化认证授权优先检查原则，避免安全审计中的常见盲区。

零执行风险：纯文档型架构，无任何可执行代码或外部 API 调用，从根本上消除供应链攻击面。S 级安全认证（100/100 分）配合 T2 可信来源背书，适合作为企业安全团队的参考标准。

潜在局限

被动参考性质：该技能本身仅为指导文档，不包含实际扫描引擎（如 Semgrep、Bandit、Trivy 等工具需另行部署），用户需自行配置工具链并具备操作经验。

场景依赖：渗透测试和主动验证环节高度依赖人工判断，技能无法自动执行实际攻击模拟；云安全评估需结合具体云平台（AWS/Azure/GCP）的专项知识补充。

时效性约束：安全威胁态势快速演变，内置的漏洞模式参考可能需要定期更新以覆盖新型攻击向量（如 AI 生成代码的特定风险）。

适合人群

• 安全工程师与渗透测试人员：需要标准化审计流程和报告模板
• DevSecOps 从业者：在 CI/CD 管道中集成安全门禁
• 开发团队负责人：建立代码安全审查机制
• 合规审计人员：满足 SOC 2、ISO 27001 等框架要求

常规风险提示

使用该技能指导实际渗透测试时，必须严格遵守授权边界和测试范围，禁止在生产环境未经授权执行主动测试。技能文档中演示的漏洞示例（如命令注入代码片段）仅用于教学，不可直接用于恶意目的。