MonkeyNull/security-auditor

# 安全审计员 为 Codex、Claude Code 和其他编码代理提供系统级安全审计技能的 AI 助手。 安全审计员是一个可重用的 AI 技能，用于在产品发布前对整个项目和部署进行安全审查。 它帮助 Codex、Claude Code 和其他 AI 编码代理检查源代码、部署文件、环境示例、依赖清单、Docker 配置、CI/CD 文件、云平台设置以及应用程序安全控制，然后生成一个结构化的安全报告，并提供具体的修复建议。 该技能在将 Web 应用程序、API 后端、SaaS 工具、管理面板或 AI 应用程序公开到公共互联网之前特别有用。 ## 快速开始 使用标准的 GitHub 技能路径安装： ``` https://github.com/MonkeyNull/security-auditor/tree/main/security-auditor ``` 在 Codex 中询问： ``` Install the skill from https://github.com/MonkeyNull/security-auditor/tree/main/security-auditor ``` 或者使用辅助脚本安装： ``` curl -fsSL https://raw.githubusercontent.com/MonkeyNull/security-auditor/main/install.sh | sh ``` 或者手动安装： ``` git clone https://github.com/MonkeyNull/security-auditor.git cd security-auditor mkdir -p ~/.codex/skills cp -R security-auditor ~/.codex/skills/security-auditor ``` 然后重启 Codex 并询问： ``` Use $security-auditor to audit this project before production deployment and produce a severity-based security report. ``` ## 审查内容 安全审计员引导 AI 代理通过系统级安全清单： - 机密和凭证管理 - `.env.example` 安全性 - 云环境变量引用 - 生产与预览环境分离 - CORS 和公共网络暴露 - 内部服务通信和私有网络 - 安全头，如 CSP、HSTS、X-Frame-Options 和 X-Content-Type-Options - SQL 注入、命令注入、SSRF、XSS、不安全的重定向和验证漏洞 - 认证、授权、JWT/session 处理、密码散列、多因素认证和 IDOR 风险 - Dockerfile 和容器加固 - 日志记录和生产错误处理 - 平台配置，如 `railway.json`、`Procfile`、Docker Compose 和 CI/CD 部署风险 - DDoS/CC 保护、速率限制、请求体限制、超时设置和成本控制风险 - 云费用上限、WAF/CDN、公共网络、预览变量和仪表板仅检查 - 合规性和数据保护项目，如隐私政策、TLS、加密和文件上传 ## 示例输出 查看 [examples/sample-report.md](examples/sample-report.md) 以获取示例安全审查报告。 ## 报告格式 生成的审计报告分为四个部分： ``` **高危风险** **中危风险** **低危风险** **需人工在云平台/部署平台确认的检查点** ``` 每个发现包括： - 问题描述 - 风险等级 - 相关文件或代码片段 - 具体的修复建议 - 当有用时的示例代码或配置 ## 安装 ### 标准GitHub技能安装 安全审计员作为标准 GitHub 技能目录发布： ``` https://github.com/MonkeyNull/security-auditor/tree/main/security-auditor ``` 如果你的 AI 编码代理支持从 GitHub 路径安装技能，请直接使用该 URL。 对于 Codex，请询问： ``` Install the skill from https://github.com/MonkeyNull/security-auditor/tree/main/security-auditor ``` 等效的 Codex 技能安装器命令是： ``` install-skill-from-github.py --repo MonkeyNull/security-auditor --path security-auditor ``` ### 辅助脚本安装 您还可以使用辅助脚本安装： ``` curl -fsSL https://raw.githubusercontent.com/MonkeyNull/security-auditor/main/install.sh | sh ``` ### 手动安装 克隆此存储库： ``` git clone https://github.com/MonkeyNull/security-auditor.git cd security-auditor ``` 将技能复制到您的 Codex 技能目录： ``` mkdir -p ~/.codex/skills cp -R security-auditor ~/.codex/skills/security-auditor ``` 重启 Codex，然后使用： ``` Use $security-auditor to audit this project before production deployment and produce a severity-based security report. ``` ## 存储库结构 ``` security-auditor/ ├── examples/ │ └── sample-report.md ├── install.sh ├── LICENSE ├── PROMOTION.md ├── README.md └── security-auditor/ ├── SKILL.md ├── agents/ │ └── openai.yaml └── references/ └── checklist.md ``` ## 使用示例 询问您的 AI 编码代理： ``` Use $security-auditor to perform a complete system-level security review of this repository. ``` 或者，进行更针对性的审查： ``` Use $security-auditor to review my Dockerfile, .env.example, cloud deployment config, and API routes for production security risks. ``` 或者，如果您希望在报告后进行修复： ``` Use $security-auditor to audit this project, then implement safe fixes for high-risk issues only. ``` ## 工作原理 该技能指示 AI 代理执行以下操作： 1. 列出相关项目文件。 2. 搜索机密、公共暴露、不安全的认证模式、风险查询、危险日志、缺失速率限制和部署错误。 3. 审查云/平台特定的配置和手动仪表板检查点。 4. 在可用的情况下运行依赖项审计工具。 5. 将经过验证的代码发现与需要手动确认的托管或云平台中的项目分开。 6. 生成基于严重性的报告，包括文件引用和实际修复。 ## 重要提示 此技能不能替代专业的渗透测试、合规性审计或生产事件响应流程。 它旨在使 AI 辅助代码审查更加系统化和以安全为重点，特别是对于小型团队和快速将代码部署到云平台的独立开发者。 如果审计发现真实的机密，请立即在提供者仪表板中旋转它们，并检查 git 历史、部署日志和第三方访问日志。 ## 推荐平台手动检查 某些部署风险无法完全从代码中验证。始终在您的托管或云平台中确认这些： - 生产变量和预览变量已分离。 - 预览部署不使用生产数据库。 - 仅对必须公开的服务启用公共网络。 - 除非需要，否则数据库、Redis、队列和内部服务不会通过公共 TCP 代理公开。 - 自定义域名正确使用 HTTPS。 - 启用费用上限、预算警报或使用警报。 - 已删除或禁用临时测试服务。 - 日志中不包含凭证、令牌、PII 或完整的数据库连接字符串。 ## 贡献 欢迎贡献。 良好的改进包括： - 更多框架特定的安全模式 - 更好的 Node.js、Python、Go、Ruby、Rust 和 Java 项目的示例 - 更多云平台部署检查 - 更好的 DDoS 和成本控制指导 - 更多语言的报告模板 请保持技能简洁实用。目标是帮助 AI 代理生成有用的、针对特定存储库的安全发现，而不是通用的清单。 ## 许可证 本项目根据 MIT 许可证发布。有关详细信息，请参阅 `LICENSE`。

标签：AI安全审计, AI辅助开发, API安全, CI/CD安全, GitHub技能, JSON输出, Llama, SaaS安全, Web截图, XML 请求, 代码安全, 安全合规, 安全开发, 安全技能, 安全技能包, 安全报告, 安全最佳实践, 安全漏洞扫描, 安全策略, 安全配置检查, 容器安全, 提示词设计, 日志审计, 源代码审计, 漏洞枚举, 系统级安全, 网络代理, 自动化安全审计, 请求拦截, 逆向工具, 部署安全