ReeperReepx/Security-Audit-Claude-Skill

# Claude Code 安全审计技能 Claude Code 的企业级安全审计插件。只需一条命令 (`/security-audit`) 即可在任何代码库上运行 10 个阶段的审计 —— 涵盖 OWASP Top 10 SAST、机密检测、依赖项 CVE、IaC 审查、认证分析和自动修复。自动检测您的平台类型（传统服务器、BaaS、全栈、移动端、桌面端、CMS、AI/ML、电子商务、Web3、微服务、浏览器扩展）并激活相应的安全检查。生成包含合规性映射（SOC 2, PCI-DSS, HIPAA）的 PDF 报告。 ## 安装 ### 选项 A：复制到插件目录 ``` cp -r "Claude Security Audit Skill" ~/.claude/plugins/security-audit ``` ### 选项 B：符号链接 ``` ln -s "$(pwd)/Claude Security Audit Skill" ~/.claude/plugins/security-audit ``` ## 用法 运行完整审计（全部 10 个阶段）： ``` /security-audit /security-audit full /security-audit all ``` 运行特定阶段： ``` /security-audit secrets /security-audit deps /security-audit sast /security-audit auth /security-audit config /security-audit iac /security-audit logging /security-audit discovery ``` 运行合规性导向的审计： ``` /security-audit --pci /security-audit --hipaa /security-audit --soc2 ``` 验证之前的修复： ``` /security-audit recheck /security-audit verify ``` ## 功能说明 ### 平台优先检测 第 1 阶段将您的项目分类为 9 种平台类型之一，然后仅激活相关的安全检查： | 平台类型 | 示例 | 检查内容 | |---|---|---| | **traditional-server** | Express, Django, Rails, Spring | 完整的服务器端 SAST、认证、会话、Headers | | **baas** | Supabase, Firebase, Appwrite | RLS 策略、安全规则、客户端密钥范围、存储 | | **fullstack-hybrid** | Next.js, Nuxt, SvelteKit | 服务器 + 客户端双重检查、API 路由认证 | | **spa-plus-api** | React + separate backend | 客户端 XSS, CORS, Token 处理, API 安全 | | **serverless** | Lambda, Vercel, Cloudflare Workers | 函数认证、IAM、事件注入 | | **static-site** | Hugo, Jekyll, Gatsby | 轻量级：依赖、机密、SRI 仅此而已 | | **mobile-app** | React Native, Flutter | 二进制文件中的 API Key、证书锁定、存储 | | **monorepo** | Turborepo, Nx | 逐包审计、跨包问题 | | **cli-library** | Published npm/pip package | 供应链、无 Web 检查 | ### 10 阶段审计 | # | 阶段 | 描述 | |---|---|---| | 1 | Asset Discovery | 分类平台类型，检测技术栈、框架、数据库、APIs | | 2 | Configuration & Hardening | CORS, headers, TLS, 调试模式, Cookie 安全, 云配置错误 | | 3 | Dependency & Supply Chain | `npm audit` / `pip audit` / lockfile 完整性 / CVE 检查 / 依赖混淆 | | 4 | Code-Level SAST | OWASP Top 10 + API 专项：SQLi, XSS, SSRF, GraphQL 深度, 批量赋值 | | 5 | IaC Review | Docker, Terraform, Kubernetes, CloudFormation, CI/CD pipeline 安全 | | 6 | Secrets & Credentials | 30+ 正则模式用于检测代码和 Git 历史中的 API Key, Token, 密码 | | 7 | Auth & Access Control | JWT, sessions, RBAC, OAuth + Supabase RLS / Firebase 规则 / BaaS 策略 | | 8 | Logging & Monitoring | 安全事件日志、日志注入、日志中的 PII、告警 | | 9 | Report & Remediation | 严重性评分、CWE/OWASP 映射、自动修复、Markdown 报告生成 | | 10 | PDF Report | 专业样式的 PDF（或 HTML 备用）用于分享和合规 | ## 自动修复 - **低 / 中危发现** 静默自动修复（安全 Headers、`.gitignore`、Cookie 标志等） - **高 / 严重发现** 经用户确认后自动修复（SQL 参数化、认证中间件等） - **安全护栏** 防止可能破坏功能的修复 —— 每次修复最多 15 行，不进行多文件重构，修复后重新读取以验证语法 ## 输出 在项目根目录生成三个报告文件： | 文件 | 格式 | 描述 | |---|---|---| | `SECURITY-AUDIT-REPORT.md` | Markdown | 主报告 — 始终生成 | | `SECURITY-AUDIT-REPORT.pdf` | PDF | 样式化、可打印的报告（当 PDF 工具可用时）| | `SECURITY-AUDIT-REPORT.html` | HTML | 未安装 PDF 工具时的备用方案（在浏览器中打开，打印为 PDF）| 报告包含： - 带有风险评级和前 3 个关键发现的高级摘要 - 带有 CVSS 评分的 Unicode 方框绘制风格发现卡片 - 按严重性组织的发现（严重 → 信息） - CWE, OWASP Top 10, SOC 2, PCI-DSS 和 HIPAA 合规性映射 - 修复状态（自动修复 vs 手动） - 逐阶段状态仪表板 - 重新审计说明 ## 误报处理 该技能包含一个集中的误报注册表，该注册表： - 排除测试文件、Fixtures、Mocks、Vendored 代码和生成的输出 - 过滤占位符值（`your-api-key`, `changeme`, `TODO`） - 应用特定阶段的上下文规则（对于没有凭据的公共 API，CORS 通配符是允许的） - 根据上下文调整严重性（测试代码、开发配置、补偿控制） ## 架构 ``` Claude Security Audit Skill/ ├── .claude-plugin/ │ └── plugin.json # Plugin manifest ├── skills/ │ └── security-audit/ │ ├── SKILL.md # Main orchestrator (10 phases) │ ├── references/ │ │ ├── # ── Core References (always loaded) ────────── │ │ ├── owasp-top-10-checks.md # SAST patterns per language/framework │ │ ├── api-security-checks.md # REST, GraphQL, WebSocket, gRPC │ │ ├── iac-security-checks.md # Docker/Terraform/K8s/CloudFormation │ │ ├── secrets-patterns.md # 30+ regex patterns for secrets │ │ ├── dependency-audit-guide.md # CVE checking, lockfile integrity │ │ ├── auth-and-access-checks.md # JWT, session, RBAC, OAuth │ │ ├── config-hardening-checks.md # TLS, CORS, headers, cloud misconfigs │ │ ├── logging-monitoring-checks.md # Security event logging, alerting │ │ ├── severity-scoring.md # CVSS-style scoring rubric │ │ ├── compliance-mapping.md # CWE/OWASP/SOC2/HIPAA/PCI-DSS │ │ ├── auto-remediation-patterns.md # Before/after code transforms │ │ ├── false-positives.md # False positive filtering rules │ │ ├── pdf-report-guide.md # PDF generation + CSS styling │ │ ├── # ── Platform-Specific References ───────── │ │ ├── baas-security-checks.md # Supabase, Firebase, Appwrite, PocketBase │ │ ├── wordpress-cms-checks.md # WordPress, Drupal, Joomla │ │ ├── electron-desktop-checks.md # Electron, Tauri desktop apps │ │ ├── mobile-app-checks.md # React Native, Flutter, iOS, Android │ │ ├── ai-ml-security-checks.md # LLM, ML models, data pipelines │ │ ├── ecommerce-payments-checks.md # Stripe, PayPal, Shopify, PCI-DSS │ │ ├── browser-extension-checks.md # Chrome, Firefox, Safari extensions │ │ ├── microservices-checks.md # Service mesh, mTLS, message queues │ │ └── web3-smart-contract-checks.md # Solidity, Solana, dApp frontends │ └── assets/ │ └── report-template.md # Markdown template for final report ├── agents/ │ └── security-scanner.md # Sub-agent for parallelized scanning ├── README.md ├── GITHUB-DESCRIPTION.md └── LICENSE ``` 关键设计： - **平台优先路由**：第 1 阶段对项目进行分类，然后仅加载相关的参考文件 - **多类型支持**：一个项目可以同时是 `fullstack-hybrid` + `baas` + `ecommerce` + `ai-ml` - **渐进式加载**：参考文件仅在其阶段运行时才被读取 - **并行扫描**：大型代码库（>200 个文件）被拆分为批次，由多个 Sonnet 代理扫描 - **优雅降级**：当未安装 CLI 工具时回退到基于 Grep 的分析；当 PDF 工具不可用时回退到 HTML - **技术栈感知**：第 1 阶段构建一个 STACK_PROFILE，供所有后续阶段用于跳过不相关的检查 ## 系统要求 - Claude Code CLI - 该技能在外部工具不可用时会优雅降级： - `npm audit` / `pip-audit` / `bundle audit` 等 — 回退到模式匹配 - `puppeteer` / `pandoc` / `wkhtmltopdf` — 回退到 HTML 报告 ## 许可证 MIT

标签：Claude Code 插件, CVE, DevSecOps, Django, Electron, Express, Firebase, HIPAA, IaC 安全, JSON 请求, OWASP Top 10, PCI-DSS, PDF 报告, React Native, SAST, SOC 2, Solidity, Supabase, Web3 安全, WordPress, 上游代理, 云安全监控, 企业安全, 依赖扫描, 多平台支持, 子域名突变, 安全工程, 数字签名, 数据可视化, 文件完整性监控, 模型提供商, 盲注攻击, 网络资产管理, 自动修复, 请求拦截, 逆向工具, 防御框架, 静态分析