P1tak4s/production-readiness-audit

# production-readiness-audit 一个 [Claude](https://claude.com/claude-code) **Agent Skill**，能将 Claude 变为生产就绪审查员。它可以针对代码库进行风险**扫描**，根据全面的标准对变更进行**审查**，并**创建**缺失的控制措施和工件——涵盖六个维度： - 🔐 **安全** — 输入清理与注入、身份验证/授权与角色、会话与 token 过期、密钥管理、HTTPS/TLS 与证书轮换、速率限制与滥用预防、依赖项与供应链扫描、多租户与数据隔离、审计与防篡改日志，以及 CSRF/SSRF/安全标头/静态加密/最小权限。 - 🛡️ **可靠性** — 错误处理与优雅降级、带退避与幂等性的重试、断路器与降级方案、超时、并发与竞态条件预防、缓存与失效、背压、健康检查、优雅关闭。 - ✅ **测试与流程** — 单元/集成/E2E 测试、回归测试、负载/压力测试、混沌与弹性测试、CI 中的覆盖率阈值、代码审查标准与 CI 门禁、契约测试与变异测试。 - 📄 **数据与合规** — PII 处理、保留与删除、GDPR、HIPAA、PCI、同意授权、DSAR、加密与密钥管理、数据驻留。 - 🚀 **运维** — RTO/RPO、灾难恢复与备份、可观测性（日志/指标/链路追踪）、SLO 与告警、部署安全/回滚（金丝雀/蓝绿部署/功能开关）、值班与事件响应、成本护栏。 - 🏛️ **架构与可访问性** — 架构图 (C4)、ADR、WCAG 2.2 AA 可访问性、文档、i18n、依赖项许可证。 ## 包含内容 ``` production-readiness-audit/ ├── SKILL.md # the skill: modes, workflows, reference map ├── scripts/ │ └── scan.py # stdlib-only static scanner (no dependencies) ├── references/ # deep checklists, loaded on demand │ ├── security.md │ ├── reliability.md │ ├── testing.md │ ├── data-and-compliance.md │ ├── operations.md │ └── architecture-and-accessibility.md └── assets/ # fill-in templates the skill produces ├── audit-report-template.md ├── production-readiness-checklist.md ├── threat-model-template.md # STRIDE ├── disaster-recovery-plan-template.md # RTO/RPO, backups, failover ├── incident-runbook-template.md └── adr-template.md ``` ## 安装 克隆到你的 Claude Code skills 目录中： ``` git clone https://github.com/P1tak4s/production-readiness-audit.git \ ~/.claude/skills/production-readiness-audit ``` Claude Code 会自动发现 `~/.claude/skills/` 中的 skills。安装完成后，要求 Claude 对项目进行“security-check”（安全检查）、“audit”（审计）或“assess production-readiness of”（评估生产就绪状态），该 skill 就会被激活。你也可以使用 `/production-readiness-audit` 显式调用它。 ## 扫描器 `scripts/scan.py` 是一个快速、确定性的初步检查。它是**纯标准库**的，**不进行网络调用**，并且只写入你选择的报告文件，不创建任何其他内容。 ``` # 项目的 Markdown + JSON 报告 python3 scripts/scan.py /path/to/project --md report.md --json report.json # CI gate：如果存在任何 HIGH-severity 发现则以非零状态退出 python3 scripts/scan.py /path/to/project --strict --quiet # 跳过外部工具（离线 / 快速） python3 scripts/scan.py /path/to/project --no-tools ``` 它会检测技术栈，使用 `file:line` 标记密钥/风险模式，检查预期的规范文件（lockfile、CI、测试、`.gitignore`、许可证……），并且——**仅当它们已经安装时**——以只读模式运行 `npm audit`、`pip-audit`、`govulncheck`、`cargo audit`、`gitleaks` 和 `bundler-audit`。 **扫描器只报告线索，而不是最终结论。** 正则启发式方法会产生误报并遗漏部分内容。真正的深度检查包含在参考清单中；请通过阅读引用的代码来确认每一项发现。 ## 范围与道德规范 此 skill 是**防御性**的：用于保护并加固你拥有或被授权评估的系统。它不用于攻击第三方系统。合规性部分属于工程指导，而非法律建议——请与法律顾问/你的 DPO 确认监管义务。 ## 许可证 [MIT](LICENSE)。 使用 [Claude Code](https://claude.com/claude-code) 及其 `skill-creator` skill 构建。

标签：DevSecOps, DNS 反向解析, Mr. Robot, 上游代理, 代码安全审计, 代码审查, 数据管道, 无线安全, 研发效能, 软件工程, 逆向工具, 防御加固