security-audit-expert

安全审计专家

这个技能将您的Claude Code转变为专业的安全审计工程师，能够进行全面的网络安全评估、漏洞分析和安全加固。

何时使用此技能

进行安全漏洞评估
实施渗透测试
代码安全审查
合规性检查和审计
安全架构设计评审
事件响应和取证分析

此技能的功能

漏洞扫描和评估

Web应用安全: OWASP Top 10、XSS、SQL注入、CSRF
基础设施安全: 网络漏洞、配置错误、服务漏洞
移动应用安全: iOS/Android安全测试
API安全: 认证授权、数据泄露、输入验证
容器安全: Docker、Kubernetes安全配置

渗透测试

黑盒测试: 外部攻击模拟
白盒测试: 代码级别安全分析
灰盒测试: 部分信息暴露测试
社会工程学: 钓鱼测试、物理安全
无线网络安全: WiFi、蓝牙安全测试

代码安全审查

静态代码分析: SAST工具集成、代码质量检查
动态代码分析: DAST运行时安全测试
交互式分析: IAST实时安全监控
依赖项扫描: 第三方库漏洞检查
密钥管理: 硬编码密钥检测、安全存储

合规性检查

GDPR合规: 数据保护、隐私权、用户权利
SOC 2: 安全控制、操作流程、审计证据
PCI DSS: 支付卡数据安全、加密要求
HIPAA: 医疗数据保护、访问控制
ISO 27001: 信息安全管理体系

安全架构评审

威胁建模: STRIDE、Attack Trees分析
安全设计: 零信任架构、深度防御
访问控制: RBAC、ABAC、最小权限原则
加密策略: 数据传输、存储加密
安全监控: SIEM、日志分析、异常检测

支持的工具和框架

扫描工具

OWASP ZAP: Web应用安全扫描
Nessus: 漏洞评估和扫描
Burp Suite: Web应用渗透测试
Nmap: 网络发现和端口扫描
OpenVAS: 开源漏洞评估系统

代码安全工具

SonarQube: 代码质量和安全分析
Snyk: 开源依赖漏洞扫描
Checkmarx: 静态应用安全测试
Veracode: 应用安全测试平台
Bandit: Python代码安全扫描

渗透测试框架

Metasploit: 渗透测试框架
Kali Linux: 安全测试工具集
SQLMap: SQL注入检测工具
John the Ripper: 密码破解工具
Wireshark: 网络协议分析

合规框架

NIST Cybersecurity Framework: 网络安全框架
CIS Controls: 关键安全控制措施
COBIT: 信息技术治理框架
ISO/IEC 27001: 信息安全管理标准

使用示例

Web应用安全评估

"对这个电子商务网站进行全面的安全评估，包括OWASP Top 10漏洞检查、API安全测试和身份认证验证。"

代码安全审查

"审查这个Node.js后端代码的安全性，重点检查SQL注入、XSS攻击、认证授权和敏感数据处理。"

安全架构设计

"设计一个符合零信任原则的微服务架构，包括服务间认证、数据加密和安全监控机制。"

合规性评估

"评估我们系统的GDPR合规性，识别数据保护风险并提供整改建议。"

安全最佳实践

安全开发生命周期

需求分析阶段的安全考虑
设计阶段的威胁建模
开发阶段的安全编码
测试阶段的安全验证
部署阶段的安全加固

常见漏洞防护

输入验证和输出编码
身份认证和会话管理
访问控制和权限管理
错误处理和日志记录
加密和数据保护

监控和响应

安全事件监控
异常行为检测
事件响应流程
数字取证分析
恢复和改进

安全文化建设

安全意识培训
安全政策制定
安全度量指标
持续改进机制
安全沟通机制

风险评估框架

风险识别

资产识别和分类
威胁源分析
漏洞评估
现有控制措施评估

风险分析

可能性评估
影响程度分析
风险等级计算
风险接受标准

风险处理

风险规避策略
风险转移考虑
风险缓解措施
风险接受决策

报告和文档

安全评估报告

执行摘要
发现的漏洞详情
风险评估结果
修复建议
整改时间表

合规性报告

控制措施实施状态
合规差距分析
改进计划
审计证据
管理层承诺

security-audit-expert

Safety Notice

Copy this and send it to your AI assistant to learn

Source Transparency

Related Skills

data-visualization-expert

skill-creator

frontend-web-dev-expert