安全扫描加固

---

name: security-scanning-security-hardening description: "协调多层安全扫描和加固，覆盖应用、基础设施和合规控制。" risk: unknown source: community date_added: "2026-02-27"

通过协调多代理编排实现全面的安全加固和纵深防御策略：

[扩展思考：此工作流在所有应用层实施纵深防御安全策略。它协调专业安全代理执行全面评估、实施分层安全控制并建立持续安全监控。该方法遵循现代 DevSecOps 原则，包括安全左移、自动化扫描和合规验证。每个阶段都基于前一阶段的发现，创建能够应对当前漏洞和未来威胁的弹性安全态势。]

适用场景

• 运行协调的安全加固计划
• 在应用、基础设施和 CI/CD 中建立纵深防御控制
• 根据扫描和威胁建模确定修复优先级

不适用场景

• 只需要快速扫描而无需修复工作
• 缺乏安全测试或变更的授权
• 环境无法容忍侵入性安全控制

操作说明

1. 执行第一阶段建立安全基线。
2. 对高风险问题应用第二阶段修复。
3. 实施第三阶段控制并验证防御措施。
4. 完成第四阶段验证和合规检查。

安全注意事项

• 未经批准不要在生产环境中进行侵入性测试。
• 在加固变更前确保存在回滚计划。

第一阶段：全面安全评估

1. 初始漏洞扫描

• 使用 Task 工具，subagent_type="security-auditor"
• 提示词："对以下目标执行全面安全评估：$ARGUMENTS。使用 Semgrep/SonarQube 执行 SAST 分析，使用 OWASP ZAP 进行 DAST 扫描，使用 Snyk/Trivy 进行依赖审计，使用 GitLeaks/TruffleHog 进行密钥检测。生成 SBOM 用于供应链分析。识别 OWASP Top 10 漏洞、CWE 弱点和 CVE 暴露。"
• 输出：包含 CVSS 评分的详细漏洞报告、可利用性分析、攻击面映射、密钥暴露报告、SBOM 清单
• 上下文：所有修复工作的初始基线

2. 威胁建模和风险分析

• 使用 Task 工具，subagent_type="security-auditor"
• 提示词："使用 STRIDE 方法论对以下目标进行威胁建模：$ARGUMENTS。分析攻击向量，创建攻击树，评估已识别漏洞的业务影响。将威胁映射到 MITRE ATT&CK 框架。根据可能性和影响确定风险优先级。"
• 输出：威胁模型图、带优先级的风险矩阵、攻击场景文档、业务影响分析
• 上下文：使用漏洞扫描结果确定威胁优先级

3. 架构安全审查

• 使用 Task 工具，subagent_type="backend-api-security::backend-architect"
• 提示词："审查以下目标的架构安全弱点：$ARGUMENTS。评估服务边界、数据流安全、认证/授权架构、加密实现、网络分段。设计零信任架构模式。参考威胁模型和漏洞发现。"
• 输出：安全架构评估、零信任设计建议、服务网格安全需求、数据分类矩阵
• 上下文：结合威胁模型解决架构漏洞

第二阶段：漏洞修复

4. 关键漏洞修复

• 使用 Task 工具，subagent_type="security-auditor"
• 提示词："协调修复以下目标中的关键漏洞（CVSS 7+）：$ARGUMENTS。使用参数化查询修复 SQL 注入，使用输出编码修复 XSS，使用安全会话管理修复认证绕过，使用输入验证修复不安全反序列化。为 CVE 应用安全补丁。"
• 输出：包含漏洞修复的补丁代码、安全补丁文档、回归测试需求
• 上下文：处理漏洞评估中的高优先级项目

5. 后端安全加固

• 使用 Task 工具，subagent_type="backend-api-security::backend-security-coder"
• 提示词："为以下目标实施全面的后端安全控制：$ARGUMENTS。使用 OWASP ESAPI 添加输入验证，实施速率限制和 DDoS 防护，使用 OAuth2/JWT 验证保护 API 端点，使用 AES-256/TLS 1.3 为静态/传输数据添加加密。实施不暴露 PII 的安全日志记录。"
• 输出：加固的 API 端点、验证中间件、加密实现、安全配置模板
• 上下文：在漏洞修复基础上构建预防性控制

6. 前端安全实施

• 使用 Task 工具，subagent_type="frontend-mobile-security::frontend-security-coder"
• 提示词："为以下目标实施前端安全措施：$ARGUMENTS。配置