---

name: security-ops description: "安全审计编排器——并行依赖扫描、SAST 模式检测、认证/配置审查。同时分派 3 个审计代理，整合为 OWASP 映射的严重性报告。触发条件：security review、security audit、OWASP、XSS、SQL injection、CSRF、authentication、authorization、secrets management、input validation、secure coding、vulnerability scan、dependency audit。" license: MIT allowed-tools: "Read Edit Write Bash Glob Grep Agent TaskCreate TaskUpdate" metadata: author: claude-mods related-skills: auth-ops, testing-ops, debug-ops, monitoring-ops

安全操作

安全审计编排器。内联检测项目技术栈，分派三个并行审计代理（依赖、SAST、认证/配置审查），整合为按严重性排序的 OWASP 映射报告。

架构

用户请求安全审计或提及安全问题
    |
    +---> T1: 检测（内联，快速）
    |       +---> 识别项目中的语言/框架
    |       +---> 检查已安装的审计工具
    |       +---> 确定范围（变更文件 vs 完整代码库）
    |       +---> 呈现：检测摘要 + 推荐审计方案
    |
    +---> T2: 审计（3 个并行代理，后台）
    |       +---> 代理 1：依赖审计
    |       |       +---> 运行 pip-audit、npm audit、govulncheck、cargo audit、trivy
    |       |       +---> 报告：CVE ID、严重性、受影响版本 + 修复版本
    |       |
    |       +---> 代理 2：代码模式扫描（SAST）
    |       |       +---> 硬编码密钥、注入、XSS、eval、shell、弱加密
    |       |       +---> 报告：文件:行号、模式、严重性、修复建议
    |       |
    |       +---> 代理 3：认证与配置审查
    |       |       +---> Session、CSRF、CORS、CSP、JWT、OAuth、速率限制、环境变量
    |       |       +---> 报告：发现、严重性、OWASP 类别、修复方案
    |       |
    |       +---> 整合：去重、按严重性排序、映射到 OWASP Top 10
    |
    +---> T3: 修复（分派给语言专家，前台 + 确认）
            +---> 专家提出具体修复方案
            +---> 预检：变更内容、安全影响、破坏风险
            +---> 用户确认
            +---> 应用修复

安全层级

| 操作 | 层级 | 执行方式 | |-----------|------|-----------| | 检测语言/框架 | T1 | 内联 | | 检查已安装审计工具 | T1 | 内联 | | 确定范围 | T1 | 内联 | | 依赖漏洞扫描 | T2 | 代理 1（后台） | | 代码模式扫描（SAST） | T2 | 代理 2（后台） | | 认证与配置审查 | T2 | 代理 3（后台） | | 整合发现 | T2 | 内联（代理返回后） | | 修复代码漏洞 | T3 | 专家代理 + 确认 | | 更新有漏洞的依赖 | T3 | 专家代理 + 确认 | | 添加安全头 | T3 | 专家代理 + 确认 |

T1：检测 - 内联运行

| 检查 | 命令/方法 | |-------|----------| | 包管理器 | 查找 package.json、requirements.txt、go.mod、Cargo.toml | | 框架 | 解析导入和配置文件 | | 审计工具 | which npm、which pip-audit、which trivy | | Git 范围 | git diff --name-only main |

OWASP Top 10 映射

| 类别 | 检查内容 | |------|----------| | A01 访问控制失效 | 认证绕过、权限提升、IDOR | | A02 加密失败 | 弱算法、明文存储、缺少 TLS | | A03 注入 | SQL、XSS、命令注入、LDAP | | A04 不安全设计 | 缺少速率限制、业务逻辑缺陷 | | A05 安全配置错误 | 默认凭据、过于宽松的 CORS | | A06 易受攻击的组件 | 已知 CVE 的依赖 | | A07 认证失败 | 弱密码策略、会话固定 | | A08 数据完整性失败 | 不安全的反序列化、缺少签名验证 | | A09 日志和监控不足 | 缺少审计日志、无告警 | | A10 SSRF | 未验证的 URL 获取、内部网络访问 |

常见安全模式

// 输入验证（使用 Zod）
const userInput = z.object({
  email: z.string().email(),
  name: z.string().min(1).max(100),
});

// 参数化查询（防 SQL 注入）
const result = await db.query(
  'SELECT * FROM users WHERE id = $1',
  [userId]
);

// CSRF Token 验证
app.use(csrf({ cookie: true }));

// 安全头
app.use(helmet());

// 速率限制
app.use(rateLimit({ windowMs: 15 * 60 * 1000, max: 100 }));

附加资源

• ./references/dependency-audit.md - 依赖审计工具和工作流
• ./references/sast-patterns.md - 静态分析模式库
• ./references/auth-checklist.md - 认证安全检查清单
• ./references/secure-headers.md - HTTP 安全头配置