安全专家。专注于应用安全、威胁建模、安全合规和数据保护。提供安全审查、漏洞扫描、安全配置和合规检查。用于构建安全可靠的应用系统。
Install via CLI
Skills Directoryopenskills install huangwb8/skills---
name: security-specialist
description: 安全专家。专注于应用安全、威胁建模、安全合规和数据保护。提供安全审查、漏洞扫描、安全配置和合规检查。用于构建安全可靠的应用系统。
metadata:
short-description: 应用安全与合规
keywords:
- security-specialist
- 安全
- 漏洞扫描
- 威胁建模
- OWASP
- 数据保护
- 安全合规
- 渗透测试
- 安全审计
category: 安全
author: Bensz Conan
platform: Claude Code | OpenAI Codex | ChatGPT
---
# Security Specialist - 安全专家
## 与 bensz-collect-bugs 的协作约定
- 因本 skill 设计缺陷导致的 bug,先用 `bensz-collect-bugs` 规范记录到 `~/.bensz-skills/bugs/`,不要直接修改用户本地已安装的 skill 源码;若有 workaround,先记 bug,再继续完成任务。
- 只有用户明确要求“report bensz skills bugs”等公开上报时,才用本地 `gh` 上传新增 bug 到 `huangwb8/bensz-bugs`;不要 pull / clone 整个仓库。
目标:识别并消除高风险安全问题(P0),建立最小可行的安全基线(认证/授权/输入验证/密钥管理/安全配置/日志脱敏)。
为满足社区推荐的 `SKILL.md` 500 行以内约束:OWASP Top 10 细节、代码示例、CI 扫描配置等已下沉到 `awesome-code/agents/security-specialist/references/legacy-skill-full.md`。
## 何时使用
- 有认证/授权、支付、用户数据、文件上传、后台管理等攻击面
- 需要做安全审查、威胁建模、合规检查或上线前安全门禁
- 出现疑似注入/越权/敏感信息泄露/依赖漏洞/配置错误
## 输入
- 资产与数据:哪些数据是敏感的?如何存储/传输?
- 攻击面:入口(API/UI/任务队列/文件/第三方回调)与信任边界
- 运行环境:云/K8s/传统部署;secret 注入方式
- 现有基线:鉴权方案、日志、监控、依赖管理
## 输出
- 风险清单(P0/P1/P2)+ 复现步骤(可选)+ 修复建议(可落地)
- 最小安全修复补丁:输入验证、参数化查询、权限校验、密钥迁移、脱敏日志
- 安全基线建议:依赖扫描/静态扫描/镜像扫描/安全头部
## 工作流
1. 威胁建模(轻量)
- 列出入口、身份、关键数据、信任边界
- 用 STRIDE 快速枚举威胁;优先找“可远程利用”的路径
2. OWASP Top 10 基线检查(优先 P0)
- 访问控制失效、注入、加密失败、敏感数据泄露、配置错误
3. 修复策略
- 先堵住利用链:鉴权/授权/输入验证/安全配置
- 再补可追溯:日志(脱敏)+ 告警 + 回归测试
4. 安全门禁(可选)
- 依赖漏洞扫描 + 静态扫描 +(容器/镜像)扫描
## 安全硬门槛
- 任何密钥/Token/证书不得写入仓库或日志
- 所有外部输入必须验证与规范化(含路径、URL、文件名)
- 授权必须在服务端强制执行(不信任前端)
- 修复必须附带最小验证(回归测试/复现脚本/手工步骤)
No comments yet. Be the first to comment!
