izaurogabriel-hash/cyberseguranca

# Skill `/cyberseguranca` — 安全原则、多智能体审计与加固 Claude Code (Anthropic) 的 Skill，具备全方位网络安全资深知识：安全原则、威胁建模、特定加固、合规 (LGPD/ISO 27001/SOC 2)、供应链、检测与响应、人为因素、IA/LLM/Agents 安全以及用于审计的多智能体编排。 **总计：** 约 22,000 行密集的技术内容，**38 个文件**： - 9 个主要主题文件（约 12k 行） - 9 个 Incident Response playbook - 8 个操作清单 - 10 个可直接复制粘贴的模板 - 1 个包含路由表的 [SKILL.md](SKILL.md) ## 此 Skill 的功能 1. **安全原则** — 不可协商的原则（Saltzer & Schroeder、Defense in Depth、Zero Trust、Assume Breach、Least Privilege、Fail Secure、Secure by Design） 2. **威胁建模** — STRIDE, DREAD, PASTA, OCTAVE, LINDDUN (隐私/LGPD), VAST, MITRE ATT&CK + ATLAS + D3FEND, CAPEC, Diamond Model, Kill Chain, Pyramid of Pain 3. **特定加固** — Cloudflare Workers, Supabase, Astro/Next.js, Hono, TypeScript, Meta API, ClickUp, Google Workspace, WhatsApp Cloud API 4. **合规** — 逐条解析 LGPD，ISO 27001:2022（附录 A 中 93 项控制），SOC 2 Type II, PCI DSS v4.0, NIST CSF 2.0, CIS Controls v8 5. **IA / LLM / Agents** — OWASP LLM Top 10 (2025), MITRE ATLAS, prompt injection 缓解措施，agent boundary，RAG 安全 6. **供应链** — SBOM, SLSA, Sigstore，依赖扫描，container 扫描，CI/CD 加固 7. **检测 + 响应** — SIEM, Sigma rules，告警，基于 NIST 800-61 的 IR 计划，取证，tabletop exercises 8. **人为因素** — 抗钓鱼 MFA，安全意识，社会工程学防御，个人/企业 OPSEC 9. **多智能体编排** — 预定义的小组（Red, Blue, Purple, Compliance, Code Review, Infra, OSINT, LLM Audit），附带现成的主提示词 ## 安装 此 Skill 是为 Anthropic 的 Claude Code CLI 编写的。要在本地安装： ``` # 克隆到 Claude Code 的 skills 目录 git clone git@github.com:izaurogabriel-hash/cyberseguranca.git \ ~/.claude/skills/cyberseguranca ``` 此后，在 Claude Code 中，使用 `/cyberseguranca` 调用，或者当上下文涉及安全决策、审计、加固、IR、威胁建模或 breach 风险时，让 Claude 自动激活。 该 Skill 会加载 [SKILL.md](SKILL.md)，它作为路由器指向 38 个内容文件。Claude 会有选择地阅读与请求相关的内容 —— 而不是一股脑全倒出来。 ## 结构 ``` cyberseguranca/ ├── SKILL.md # Roteador / entry point ├── 01-doutrina-e-threat-modeling.md # ~1.100 linhas ├── 02-aplicacao-borda-cdn.md # ~1.800 linhas ├── 03-dados-crypto-secrets-iam.md # ~1.800 linhas ├── 04-supply-chain-infra-cloud.md # ~1.500 linhas ├── 05-detection-resposta-humano.md # ~1.500 linhas ├── 06-compliance-lgpd-iso-soc2.md # ~1.500 linhas ├── 07-stacks-5law-hardening.md # ~1.500 linhas ├── 08-ia-llm-agents-security.md # ~1.500 linhas ├── 09-orquestracao-multi-agente.md # ~1.200 linhas ├── playbooks/ # 9 playbooks de IR │ ├── 01-incident-response-mestre.md │ ├── 02-data-breach-lgpd-72h.md │ ├── 03-credential-leak.md │ ├── 04-account-takeover.md │ ├── 05-ransomware.md │ ├── 06-ddos.md │ ├── 07-supply-chain-compromise.md │ ├── 08-insider-threat.md │ └── 09-phishing-campaign.md ├── checklists/ # 8 checklists operacionais │ ├── 01-pre-deploy-prod.md │ ├── 02-supabase-security-150-itens.md │ ├── 03-cloudflare-security.md │ ├── 04-onboarding-offboarding.md │ ├── 05-osint-self-recon.md │ ├── 06-secrets-rotation-quarterly.md │ ├── 07-dependency-update-process.md │ └── 08-quarterly-security-review.md └── templates/ # 10 templates copy-paste ├── 01-csp-strict-nonce.ts ├── 02-supabase-rls-patterns.sql ├── 03-zod-validators.ts ├── 04-audit-log-triggers.sql ├── 05-wrangler-toml-secure.toml ├── 06-incident-report.md ├── 07-dpia-lgpd-template.md ├── 08-threat-model-stride-template.md ├── 09-github-actions-hardened.yml └── 10-headers-helper-completo.ts ``` ## 示例中假定的技术栈 此 Skill 是针对具有两个不同领域的真实 multi-tenant 环境编写的： - **5LAW** — 法律营销（主要示例参考） - **BP Odontologia** — 牙科诊所（第二个 tenant） 以及技术栈： - 后端：Cloudflare Workers + Hono + TypeScript - 数据库：Supabase (Postgres + RLS + Auth + Storage + Realtime) - 前端：Astro + Next.js + React - 集成：Meta API, ClickUp, Google Workspace, WhatsApp Cloud API 示例反映了这一背景，因为这使内容具体化且可直接应用。**你可以在其他技术栈中使用此 Skill** —— 原则是通用的，Claude 会自动调整。在涉及私人信息（特定 CNPJ、个人用户名、所有权中的真实姓名）的地方，我使用了占位符进行替换。 ## 应用的原则 1. **默认拒绝。** RLS，IAM，网络 —— 一切都优先拒绝。 2. **最小权限 + 最短时间。** 访问是例外，不是规则。 3. **假设被入侵 (Assume breach)。** 设计时考虑到何时会被攻破，而不是是否会被攻破。 4. **不要信任任何来自客户端的东西。** 始终在服务端进行验证。 5. **不要信任网络中的任何东西。** 内部同样实行 Zero Trust。 6. **所有关键步骤启用 MFA，管理员强制使用 FIDO2。** 7. **详细日志，合理保留，异常告警。** 8. **关键补丁在 < 7 天内修复，并实现自动化。** 9. **经过测试的备份才是唯一的备份。** 每季度进行恢复演练。 10. **加密：使用成熟的库，不要自己造轮子。** Argon2id, AES-GCM, Ed25519。 11. **Secrets 存放在 vault 中，绝不能写在代码里，自动轮转。** 12. **检测 > 预防。** 预防会失效；快速检测可限制损害。 13. **在编写关键功能代码之前先进行威胁建模。** 14. **在任何 incident 之后进行无指责的复盘 (Postmortem)。** 15. **记录安全决策 (ADR)。** 记录原因 > 不仅仅是做了什么。 ## 对局限性的坦诚说明 此 Skill 并不承诺 100% 的安全。**大型科技公司也会被攻破。** 目标是： - 让攻击者面对预期的目标时觉得入侵成本太高 - 在几小时内检测到，而不是几个月 - 限制爆炸半径 (blast radius) - 在几天内恢复 ## 来源 内容引用了权威来源，无臆造： Saltzer & Schroeder (1975), NIST (CSF 2.0, SP 800-53r5, 800-61r2, 800-63B rev.4, 800-207, SSDF 800-218), MITRE (ATT&CK Enterprise v15+, ATLAS, CAPEC, D3FEND), OWASP (Top 10 Web 2021, API Top 10 2023, ASVS 4.0.3, LLM Top 10 2025, Cheat Sheet Series, Testing Guide, SAMM v2), ISO/IEC 27001:2022, AICPA SOC 2 TSC, PCI DSS v4.0, CIS Controls v8, LGPD (Lei 13.709/2018) + Resoluções ANPD, RFCs (5869, 6238, 6749, 6750, 7515-7519, 7636, 8446, 8705, 9068, 9106, 9126, 9449, 9457), SLSA, Sigstore, BeyondCorp papers (Google 2014-2018), Microsoft SDL, BSIMM, CISA Secure by Design (2023), Verizon DBIR (anual), Mandiant M-Trends, Anderson "Security Engineering" 3rd ed., Schneier, Adam Shostack "Threat Modeling", Reason "Human Error" (Swiss Cheese), Bianco (Pyramid of Pain), Caltagirone et al. (Diamond Model), Hutchins/Cloppert/Amin (Lockheed Kill Chain). ## 许可证 [MIT](LICENSE) — 使用、修改、重新分发。提及该代码库受欢迎，但非强制。 ## 贡献 欢迎提交 Issues 和 PR。请保持标准：为任何新增的技术声明引用权威来源。

标签：Claude Code, 人工智能安全, 合规与审计, 合规性, 多智能体编排, 多线程, 威胁建模, 安全基线加固, 程序员工具, 网络安全, 自动化攻击, 防御加固, 隐私保护