security-guardian
Originally fromcaomeiyouren/momei
Installation
SKILL.md
Security Guardian
铁律:把“没有看到明显校验”视为真实风险,直到证据证明它是安全的。
工作流
- Step 1: 标记敏感面 ⚠️ REQUIRED
- 1.1 识别登录、会话、权限、数据写入、文件访问、外部请求和 secrets。
- 1.2 标记涉及用户身份、租户边界和高价值数据的路径。
- Step 2: 逐类审计 ⚠️ REQUIRED
- 2.1 查鉴权与授权是否完整。
- 2.2 查输入处理是否存在注入、XSS、路径遍历或命令执行风险。
- 2.3 查日志、配置和提交内容是否泄露 secrets。
- 2.4 查依赖与默认配置是否存在危险默认值。
- Step 3: 评估影响
- 3.1 明确可利用性、影响范围和修复优先级。
- 3.2 不确定时说明需要人工核验的点,而不是轻率放行。