leomarviegas/my-security-auditor
GitHub: leomarviegas/my-security-auditor
将 Claude Code 转变为结构化安全审计员的技能包,集成 25 个以上安全框架提供系统性的授权安全审计工作流。
Stars: 5 | Forks: 0
# my-security-auditor
[](https://opensource.org/licenses/Apache-2.0)
[](https://docs.claude.com/en/docs/claude-code/skills)
[](https://owasp.org/)
[](https://attack.mitre.org/)
## 这是什么
`my-security-auditor` 是一个 Claude Code skill,能将 Claude 转变为一名结构化的安全审计员。该 skill 不提供临时性的安全建议,而是提供一个系统的、分阶段的工作流,并由涵盖所有主要安全领域的 25 个以上框架参考作为支撑。
**已集成的框架:**
- **OWASP** — Top 10, API Top 10, Mobile Top 10, LLM Top 10, Cloud-Native Top 10, K8s Top 10, ASVS, SAMM, WSTG, MASVS
- **MITRE** — ATT&CK + D3FEND, 对手模拟
- **OSSTMM** 及 RAV 评分
- **NIST** — RMF, CSF 2.0, FAIR, 800-53, 800-207 (Zero Trust)
- **ISO** — 27001, 27002, 27005, 27017, 27018, 27034, 27701
- **风险评分** — CVSS v4.0, EPSS, SSVC
- **合规性** — SOC 1/2/3, PCI-DSS v4.0.1, GDPR/LGPD/CCPA/HIPAA
- **架构** — SABSA, Zero Trust (CISA ZTMM), CIS benchmarks, CSA CCM
- **SaaS 专用** — 多租户, 企业级 SSO/SCIM, BYOK/CMEK
- **团队运营** — 红队 (完整 kill chain, C2, OPSEC), 蓝队 (SOC, SIEM, 检测工程, 威胁狩猎), 紫队 (CALDERA, Atomic Red Team, BAS 平台)
## 快速开始
### 安装
1. 下载最新版本:`my-security-auditor.skill`
2. 安装到 Claude Code:
unzip my-security-auditor.skill -d ~/.claude/skills/
3. 验证安装:
ls ~/.claude/skills/my-security-auditor/
### 使用
当您要求 Claude Code 处理与安全相关的工作时,该 skill 会自动触发。示例 prompt:
```
Perform a security audit of https://app.example.com
I need a pentest of our API. Authorized target is api.example.com
Run an OWASP Top 10 review against the codebase
Audit our SaaS tenant isolation — we have customers A and B
Assess our SOC maturity and detection coverage
Design a purple team exercise for credential access TTPs
Check our GDPR/LGPD compliance posture
```
## 它有何不同
| 一般的“进行安全审计” | 使用此 skill |
|-------------------------------|-----------------|
| 来自训练数据的临时检查清单 | 结构化的 6 阶段工作流(范围确定 → 侦察 → 遍历 → 评估 → 攻击链 → 报告) |
| 笼统的 OWASP 提及 | 渐进式披露——仅加载与目标相关的框架 |
| 表面化的发现 | 多模型交叉复核以减少误报 |
| 主观的严重性评估 | CVSS v4.0 + EPSS + SSVC + OSSTMM RAV |
| “在我看来是安全的” | 攻击链分析,将单个发现映射到真实的漏洞利用路径 |
| 混合受众的报告 | 独立的高管 / 技术 / 开发人员 / 指标报告产物 |
## 架构
该 skill 采用渐进式披露——`SKILL.md` 作为编排器保持在 500 行以内。框架参考仅在相关时加载。详情请参见 [`docs/ARCHITECTURE.md`](docs/ARCHITECTURE.md)。
```
my-security-auditor/
├── SKILL.md # Orchestrator (~350 lines)
└── references/
├── recon-playbook.md # Recon methodology
├── owasp-checks.md # Web app checklist
├── attack-chains.md # Chain patterns
├── report-template.md # Reporting (multi-audience)
├── multi-model-review.md # Cross-validation
└── frameworks/ # 25 deep-dive references
├── owasp-complete.md
├── owasp-asvs.md
├── api-security.md
├── mobile-security.md
├── ai-llm-security.md
├── cloud-security.md
├── kubernetes-security.md
├── microservices-security.md
├── saas-security.md
├── customer-trust-deliverables.md
├── privacy-compliance.md
├── iso-standards.md
├── risk-management.md
├── soc-auditing.md
├── pci-dss.md
├── mitre-attack.md
├── osstmm.md
├── zero-trust.md
├── security-architecture.md
├── vulnerability-management.md
├── red-team.md
├── blue-team.md
└── purple-team.md
```
## 文档
| 文档 | 目的 |
|----------|---------|
| [安装指南](docs/INSTALLATION.md) | 详细的安装说明 |
| [使用指南](docs/USAGE.md) | 如何调用 skill,prompt 示例 |
| [框架参考](docs/FRAMEWORKS.md) | 包含摘要的所有 25 个框架的完整列表 |
| [架构说明](docs/ARCHITECTURE.md) | skill 的结构方式 |
| [示例](docs/EXAMPLES.md) | 真实用例(SaaS 审计、红队、紫队) |
| [贡献指南](CONTRIBUTING.md) | 如何添加框架,改进内容 |
| [安全政策](SECURITY.md) | 漏洞披露 |
| [更新日志](CHANGELOG.md) | 版本历史 |
## 安全与授权
**此 skill 仅用于授权的安全测试。** 在进行任何主动测试之前,该 skill 的第 0 步强制要求:
- 目标所有者的书面授权
- 明确界定的范围(范围内 / 范围外)
- 测试姿态(被动 / 轻度探测 / 主动安全)
- 参与类型(漏洞评估 / 渗透测试 / 红队 / 蓝队 / 紫队)
该 skill 在没有确认授权的情况下将拒绝继续。切勿将此用于未经授权的测试。
## 统计数据
- **29 个文件**,约 17,000 行安全方法论
- 涵盖所有主要安全领域的 **25 个框架参考**
- 审计工作流的 **6 个阶段**(范围确定 → 侦察 → 遍历 → 评估 → 攻击链 → 报告)
- 支持 **5 种参与类型**(VA / 渗透测试 / 红队 / 蓝队 / 紫队)
## 许可证
Apache License 2.0 — 详见 [LICENSE](LICENSE)。
## 致谢
本 skill 建立在安全界数十年知识的基础之上。框架参考综合了以下机构的指导:
OWASP Foundation、MITRE Corporation、ISECOM (OSSTMM)、NIST、ISO、Cloud Security Alliance、Center for Internet Security、PCI Security Standards Council 以及更广泛的安全社区。
**免责声明:** 此 skill 提供方法论和指导。它不能替代合格的网络安全专业人员处理高风险任务。对于关键的安全工作,请运用适当的判断力并接受人工监督。
标签:AI安全, AI智能体, API安全, BYOK, CCPA, Chat Copilot, Chrome Headless, CISA项目, Claude Code, Cloudflare, CMEK, CVSS, D3FEND, DLL 劫持, DNS 反向解析, GDPR, HIPAA, IP 地址批量处理, ISO 27001, JSONLines, JSON输出, Kubernetes安全, LGPD, LLM, MITRE ATT&CK, NIST, OSSTMM, PCI-DSS, SaaS安全, SABSA, SCIM, SOC 2, SSO, Unmanaged PE, Web报告查看器, XXE攻击, Zero Trust, 事件响应, 代码安全审计, 企业安全, 单点登录, 后渗透, 多租户架构, 大语言模型, 威胁建模, 子域名变形, 安全合规, 安全工具集合, 安全架构, 对手模拟, 插件系统, 数据展示, 无线安全, 服务器监控, 目录枚举, 移动安全, 紫队, 红蓝紫队, 红队, 结构化查询, 网络代理, 网络信息收集, 网络安全, 网络资产管理, 自动化安全, 防御加固, 隐私保护, 零信任