【计算机工具类-安全工具Skills】007 - 安全审计与威胁建模技能

安全审计、系统加固、威胁建模(STRIDE/PASTA)、红蓝对抗、OWASP检查、代码审查、事件响应和基础设施安全综合技能。技能概述007 - 安全审计与威胁建模技能是一个全面的安全审计与威胁建模技能,作为首席安全架构师AI,它具备代码安全、基础设施安全、API安全、机器人安全、支付安全、AI/代理安全和合规性等多个领域的专业知识。该技能采用攻击者思维,防御者行动的方式,确保任何系统在投入生产前都经过严格的安全审查。下载地址:https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/007主要功能安全审计: 执行全面的安全分析,包括代码审查、漏洞扫描和风险评估威胁建模: 使用STRIDE和PASTA框架进行系统化的威胁建模系统加固: 提供具体的安全加固建议和实施方案红蓝对抗: 模拟攻击者视角进行渗透测试和防御策略制定事件响应: 提供安全事件的应急响应playbook合规检查: OWASP Top 10、LGPD/GDPR、SOC2、PCI-DSS等合规性检查触发条件在以下情况下应该调用此技能:用户提到审计或相关话题用户提到安全审计或相关话题用户提到威胁建模或相关话题用户提到STRIDE或相关话题需要评估系统安全性需要进行代码安全审查发生安全事件需要响应使用场景场景1: 代码安全审计对应用程序代码进行全面的安全审查,识别潜在的安全漏洞和风险点,提供修复建议。场景2: 威胁建模分析使用STRIDE和PASTA框架对系统进行威胁建模,识别攻击面和潜在威胁,制定缓解策略。场景3: 生产环境审批在系统部署到生产环境前进行安全评估,给出批准、有条件批准或拒绝的裁决。场景4: 安全事件响应当发生安全事件时,激活相应的应急响应playbook,指导事件处理流程。处理过程1. 攻击面映射首先全面映射系统的攻击面,包括:输入和输出数据流关键资产识别(密钥、敏感数据、基础设施)代码执行点外部依赖项2. 威胁建模(STRIDE PASTA)使用两种互补的威胁建模框架:STRIDE(技术层面): 分析欺骗、篡改、否认、信息泄露、拒绝服务、权限提升等威胁PASTA(业务层面): 从业务目标出发,进行攻击模拟和威胁分析3. 技术安全检查清单根据系统类型执行相应的安全检查清单:通用安全检查(密钥管理、输入验证、权限控制等)Python特定检查(eval/exec使用、pickle安全等)API安全检查(认证授权、输入验证、CORS配置等)AI/代理安全检查(提示注入防护、沙箱隔离等)4. 红队思维模拟攻击从攻击者角度模拟真实攻击场景:定义攻击者角色(恶意用户、滥用机器人、受损代理等)模拟攻击步骤和路径评估攻击影响和检测难度5. 蓝队防御加固针对识别的威胁提出防御措施:架构层面的安全改进技术防护措施(速率限制、沙箱隔离等)监控和告警配置事件响应流程6. 最终裁决基于量化评分系统给出最终裁决:90-100分: 批准 - 可投入生产70-89分: 有条件批准 - 需记录缓解措施50-69分: 部分阻止 - 需修正后才能生产0-49分: 完全阻止 - 不安全,需重新设计输入要求使用此技能时,用户需要提供:待审计的代码路径或系统描述系统架构和组件信息外部依赖和API信息业务场景和安全需求输出说明技能将提供:系统摘要和攻击面映射发现的漏洞列表(按严重性排序)威胁建模结果(STRIDE/PASTA)具体的修复建议和代码示例安全加固措施量化评分和最终裁决使用示例示例1: 执行安全审计audite ./my-project示例2: 威胁建模分析threat-model ./my-api示例3: 生产环境审批aprove ./my-application最佳实践提供清晰的项目上下文: 详细描述项目的技术栈、架构和业务场景,以获得更准确的分析结合其他技能使用: 与skill-sentinel、web-scraper等技能配合使用,进行更全面的安全分析定期审计: 在代码变更、依赖更新、配置修改时主动触发安全审计遵循绝对原则: 零信任、无硬编码密钥、沙箱执行、有界自动化、代理隔离、假设入侵、安全失败、全面审计及时响应事件: 当发生安全事件时,立即激活相应的playbook进行响应相关技能skill-sentinel: 007继承并深化了sentinel的安全检查web-scraper: 007审计爬虫的合法性、道德性和技术风险skill-creator: 007在新技能部署前进行审查agent-orchestrator: 007验证代理间的隔离和权限注意事项仅用于明确匹配上述范围的任务输出结果不能替代特定环境的验证、测试或专家审查如果缺少必需的输入、权限、安全边界或成功标准,请停止并请求澄清该技能具有高风险等级,应谨慎使用