安全审计技能指南:代码安全最佳实践、OWASP检查清单与漏洞防范
The Agent Skills Directory
安装命令
npx skills add https://smithery.ai/skills/jeanluciano/security-auditing🇨🇳中文介绍
安全审计
目的
提供安全最佳实践、模式和检查清单,以确保安全的代码实现。
使用时机
- 实现身份验证或授权系统时
- 审查代码是否存在安全漏洞时
- 验证输入/输出处理时
- 设计安全的 API 时
- 进行安全审计时
- 分析数据保护要求时
安全检查清单
输入验证
- ✅ 对所有外部输入进行清理
- ✅ 验证数据类型和格式
- ✅ 尽可能实施白名单验证
- ✅ 通过参数化查询防止 SQL 注入
- ✅ 防范 XSS 攻击
- ✅ 验证文件上传(类型、大小、内容)
身份验证与授权
- ✅ 使用强密码哈希(bcrypt、Argon2)
- ✅ 实施适当的会话管理
- ✅ 使用安全的令牌生成(具有正确签名的 JWT)
- ✅ 实施令牌过期和刷新策略
- ✅ 应用基于角色的访问控制(RBAC)
- ✅ 在每个访问点验证权限
- ✅ 对敏感操作使用多因素身份验证
数据保护
- ✅ 加密静态敏感数据
- ✅ 对传输中的数据使用 TLS/HTTPS
- ✅ 实施适当的密钥管理
- ✅ 避免在日志中存储敏感数据
- ✅ 实施数据保留策略
- ✅ 如果适用,遵守 GDPR/HIPAA 要求
API 安全
- ✅ 实施速率限制
- ✅ 使用 API 密钥或 OAuth 进行身份验证
- ✅ 验证和清理所有 API 输入
- ✅ 实施适当的 CORS 策略
- ✅ 使用安全标头(CSP、HSTS、X-Frame-Options)
- ✅ 对 API 进行版本控制以安全地管理重大变更
审计日志
- ✅ 记录所有身份验证尝试
- ✅ 记录授权失败
- ✅ 跟踪敏感数据访问
- ✅ 记录配置更改
- ✅ 实施安全的日志存储
- ✅ 监控日志中的可疑活动
常见漏洞
OWASP Top 10
- 注入 : 使用参数化查询,输入验证
- 失效的身份验证 : 实施安全的会话管理
- 敏感数据泄露 : 加密数据,使用 HTTPS
- XML 外部实体(XXE) : 禁用 XML 外部实体处理
- 失效的访问控制 : 在每个端点验证权限
- 安全配置错误 : 遵循安全加固指南
- 跨站脚本(XSS) : 清理输出,使用 CSP 标头
- 不安全的反序列化 : 验证序列化数据
- 使用含有已知漏洞的组件 : 保持依赖项更新
- 不足的日志记录和监控: 实施全面的日志记录
安全模式
安全配置
security_config:
session:
secure: true
httpOnly: true
sameSite: "strict"
maxAge: 3600
passwords:
minLength: 12
requireSpecialChars: true
hashAlgorithm: "argon2"
api:
rateLimit: 100/minute
corsOrigins: ["https://trusted-domain.com"]
requireApiKey: true
身份验证流程
1. 用户提交凭据
2. 验证输入格式
3. 与数据库中的安全哈希进行比对
4. 生成安全会话令牌(JWT)
5. 设置安全的、httpOnly 的 Cookie
6. 返回成功及最少的用户信息
7. 记录身份验证事件
授权模式
1. 接收带有令牌的请求
2. 验证令牌签名和过期时间
3. 提取用户角色/权限
4. 检查用户是否具有所需权限
5. 如果授权则执行操作
6. 记录授权决策
7. 如果未授权则返回 403
安全命令
依赖项扫描
# Python
pip-audit
# Node.js
npm audit
npm audit fix
# General
snyk test
静态分析
# Python
bandit -r src/
# Node.js
npm run lint:security
密钥检测
# Detect secrets in code
trufflehog filesystem .
git-secrets --scan
# Scan for API keys
detect-secrets scan
最佳实践
代码审查安全检查清单
- 所有输入都已验证和清理
- 输出已正确编码
- 敏感操作需要身份验证
- 在每个访问点检查授权
- 敏感数据已加密
- 错误消息不泄露信息
- 依赖项是最新的
- 安全标头已实施
- 已实施速率限制
- 审计日志已配置
安全开发工作流
- 设计阶段 : 威胁建模,安全需求
- 开发阶段 : 遵循安全编码指南
- 测试阶段 : 安全单元测试,渗透测试
- 审查阶段 : 以安全为中心的代码审查
- 部署阶段 : 安全配置审查
- 监控阶段 : 主动安全监控和警报
其他资源
- OWASP Top 10: https://owasp.org/www-project-top-ten/
- CWE Top 25: https://cwe.mitre.org/top25/
- Security Headers: https://securityheaders.com/
在实现安全功能或进行安全审查时使用此技能
每周安装次数
–
来源
首次出现
–
🇺🇸English
Security Auditing
Purpose
Provides security best practices, patterns, and checklists for ensuring secure code implementation.
When to Use
- Implementing authentication or authorization systems
- Reviewing code for security vulnerabilities
- Validating input/output handling
- Designing secure APIs
- Conducting security audits
- Analyzing data protection requirements
Security Checklist
Input Validation
- ✅ Sanitize all external inputs
- ✅ Validate data types and formats
- ✅ Implement whitelist validation where possible
- ✅ Prevent SQL injection via parameterized queries
- ✅ Guard against XSS attacks
- ✅ Validate file uploads (type, size, content)
Authentication & Authorization
- ✅ Use strong password hashing (bcrypt, Argon2)
- ✅ Implement proper session management
- ✅ Use secure token generation (JWT with proper signing)
- ✅ Implement token expiration and refresh strategies
- ✅ Apply role-based access control (RBAC)
- ✅ Verify permissions at every access point
- ✅ Use multi-factor authentication for sensitive operations
Data Protection
- ✅ Encrypt sensitive data at rest
- ✅ Use TLS/HTTPS for data in transit
- ✅ Implement proper key management
- ✅ Avoid storing sensitive data in logs
- ✅ Implement data retention policies
- ✅ Comply with GDPR/HIPAA requirements if applicable
广告位招租
在这里展示您的产品或服务
触达数万 AI 开发者,精准高效
