security-audit
Installation
SKILL.md
Security Audit Skill
全面的安全审计工具,覆盖代码静态分析(SAST)、依赖检查(SCA)和服务器配置审计。
授权与边界(先确认再动手)
- 只审计用户拥有或明确获得授权的代码/服务器;对第三方系统的扫描请求一律拒绝并说明原因
- 本skill做审计与建议,不做主动攻击性测试(漏洞利用、爆破、DoS验证)
- 发现硬编码凭证时只报告位置与类型,不在输出中回显完整明文
- 除非用户明确要求,不直接修改业务代码;修复以建议形式给出
时效性规则(重要)
本文件不维护具体CVE清单。凡涉及"某版本是否有漏洞"的结论,必须现场查询:
用 web search 查 [框架/库名] CVE advisory [当前年份],或查官方 security advisory 页面。
正文中出现的具体CVE(如 Log4Shell CVE-2021-44228)仅作为漏洞类别的历史案例,不代表当前威胁全貌。