security-review

GitHub

针对代码变更、PR或分支进行聚焦安全评审,涵盖认证、授权、注入及密钥处理等风险。通过信号扫描与手动链路追踪识别高危问题,按严重级别报告发现项,辅助开发者进行威胁导向的代码审查与安全风险评估。

zh-cn/skills/security-review/SKILL.md franklioxygen/agent-workflows

Trigger Scenarios

用户要求进行安全评审 执行威胁导向代码审查 需要认证或权限审查 进行安全风险评估

Install

npx skills add franklioxygen/agent-workflows --skill security-review -g -y
More Options

Non-standard path

npx skills add https://github.com/franklioxygen/agent-workflows/tree/master/zh-cn/skills/security-review -g -y

Use without installing

npx skills use franklioxygen/agent-workflows@security-review

指定 Agent (Claude Code)

npx skills add franklioxygen/agent-workflows --skill security-review -a claude-code -g -y

安装 repo 全部 skill

npx skills add franklioxygen/agent-workflows --all -g -y

预览 repo 内 skill

npx skills add franklioxygen/agent-workflows --list

SKILL.md

Frontmatter
{
    "name": "security-review",
    "description": "对代码变更、Pull Request、分支或工作区 diff 进行聚焦安全评审,关注认证、授权、输入校验、注入、密钥处理、敏感数据暴露、依赖风险、不安全传输和危险运维行为;当 Codex 被要求进行安全评审、威胁导向代码审查、认证\/权限审查或安全风险评估时使用。"
}

安全评审

快速开始

  • 把这个技能当成聚焦型评审层,而不是正常正确性评审的替代品。
  • 当仓库路径或变更文件路径可用时,运行 scripts/security_signal_scan.py <path>
  • 在输出发现前,先阅读 references/security-review-checklist.md
  • 遵循 ../_shared/references/skill-operating-rules.md 中共享的安全、验证和范围规则。
  • 除非用户明确要求修复,否则保持只读。
  • 未经明确许可,不要提交、推送、部署、轮换密钥、吊销凭证或执行破坏性命令。

评审流程

  1. 明确范围:
  • 评审目标:PR、分支、工作区变更或具体文件。
  • 如果在评审 diff,确认比较基线。
  • 该变更触及的信任边界。
  • 被触及的安全敏感领域:认证、权限、密钥、支付、PII、文件上传、网络调用、命令执行、数据库访问、依赖升级、日志或遥测。
  1. 运行信号扫描:
python3 scripts/security_signal_scan.py /path/to/repo-or-file
  1. 手动追踪高风险链路:
  • 外部输入到危险汇点:数据库查询、shell 命令、HTML/模板渲染、文件路径、网络请求、反序列化、日志或重定向。
  • 身份到授权决策:认证来源、用户/会话查找、角色/权限检查、租户或归属边界。
  • 密钥从创建到存储/使用/日志记录的路径。
  • 敏感数据从存储到响应、日志、分析系统或第三方调用的路径。
  1. 先报告发现项,并按严重级别排序。使用下面格式:
### [Severity] Finding title

- Location:
- Problem:
- Why it matters:
- Attack or failure scenario:
- Recommended fix:
- Severity: Critical / Major / Minor / Nit
  1. 如果没有发现问题,要明确说明,同时列出剩余风险、跳过的检查和已执行的验证。

严重级别指引

  • Critical:直接导致数据暴露、认证绕过、授权绕过、凭证泄漏、远程代码执行、破坏性数据修改或可利用注入。
  • Major:缺少边界场景授权、存在可利用路径的不安全输入处理、敏感日志、不安全默认值、危险依赖升级或租户边界风险。
  • Minor:纵深防御缺口、较弱的校验、不完整审计轨迹、含糊的安全行为或低概率暴露。
  • Nit:没有实质性安全影响的命名、注释或结构问题。

与其他工作流协作

  • 广泛代码评审用 code-review-agent-workflow.md;需要更深的安全视角时叠加本技能。
  • 如果安全评审发现了缺陷,先报告发现项,再交接给缺陷修复工作流。
  • 如果评审暴露出设计或策略决策缺口,交接给功能工作流,而不是自行发明安全策略。

Version History

  • 063f52c Current 2026-07-05 20:15

Same Skill Collection

skills/docs-maintenance/SKILL.md
skills/migration-planning/SKILL.md
skills/performance-review/SKILL.md
skills/project-initialization/SKILL.md
skills/release-prep/SKILL.md
skills/security-review/SKILL.md
skills/test-strategy/SKILL.md
skills/workflow-automation/SKILL.md
skills/workflow-maintainer/SKILL.md
zh-cn/skills/docs-maintenance/SKILL.md
zh-cn/skills/migration-planning/SKILL.md
zh-cn/skills/performance-review/SKILL.md
zh-cn/skills/project-initialization/SKILL.md
zh-cn/skills/release-prep/SKILL.md
zh-cn/skills/test-strategy/SKILL.md
zh-cn/skills/workflow-automation/SKILL.md
zh-cn/skills/workflow-maintainer/SKILL.md

Metadata

Files
0
Version
063f52c
Hash
41995f17
Indexed
2026-07-05 20:15

trang chủ - Wiki
Copyright © 2011-2026 iteam. Current version is 2.155.2. UTC+08:00, 2026-07-09 03:39
浙ICP备14020137号-1 $bản đồ khách truy cập$