全栈安全审计与漏洞检测专家

专业安全审计与漏洞检测技能，覆盖代码审查、渗透测试、云安全合规，输出结构化风险报告与修复方案。

基本信息

• 技能名称?security-reviewer
• 中文名称?全栈安全审计与漏洞检测专家
• 作者?veeramanikandanr48
• 分类?其他
• 版本?1.0.0
• 标签?security-audit, penetration-testing, sast, vulnerability-scan, devsecops, cloud-security, compliance, owasp, infrastructure-security

使用方法

使用说明
核心用法
Security Reviewer 是面向安全审计场景的专项技能，适用于 SAST 静态扫描、渗透测试、基础设施安全评估及 DevSecOps 合规检查。其标准工作流包括：划定攻击面 → 自动化工具扫描 → 手工代码审计（聚焦认证授权、输入处理、加密实现）→ 授权范围内的主动验证 → 风险定级（Critical/High/Medium/Low）→ 输出可执行的修复报告。
显著优点
权威知识库 ：内置 OWASP Top 10、CWE、CVSS 评分体系，支持 Semgrep、Bandit、Trivy、Checkov 等主流工具链
双轨检测 ：强制要求"工具+人工"双重验证，降低漏报率
合规就绪 ：覆盖 CIS 基准、SOC2、ISO27001 等合规框架
风险可控 ：严格的授权边界（MUST NOT DO 清单），禁止未授权生产环境测试
局限与风险
依赖用户正确配置扫描范围，过度扫描可能导致服务中断
自动化工具存在误报，需人工二次确认
主动测试环节需明确授权，否则存在法律合规风险
不包含漏洞自动修复，需配合 Secure Code Guardian 技能落地补丁
适合人群
安全工程师、DevSecOps 实践者、需要合规审计的中小企业技术负责人、开源项目维护者
常规风险
操作风险 ：未遵循"先授权后测试"原则可能触发法律追责
数据风险 ：secrets 扫描可能意外暴露历史提交中的敏感凭证
业务风险 ：渗透测试未设置 rate limit 可能导致目标服务降级