代码安全审计

技能简介

本技能为代码仓库提供标准化安全审计流程，覆盖硬编码密钥、访问控制缺陷、不安全数据处理等常见漏洞类型。采用只读工具进行分析，确保审计过程零侵入。

能做什么

• 扫描代码中的硬编码密钥、API凭证和私钥
• 检测越权访问、IDOR、权限提升等访问控制漏洞
• 识别弱加密算法、明文存储等数据处理风险
• 生成结构化安全报告并输出至指定目录

使用说明

1. 安装：无需额外安装，该技能为内置审计规范
2. 触发方式：在对话中明确请求代码安全分析或漏洞检测
3. 执行命令：使用 /security:full-analyze 启动完整审计
4. 工具限制：仅使用 ls -R、grep、read-file 等只读命令
5. 报告输出：结果存放于工作区 .shield_security/ 目录，同时在对话中展示完整内容

输入与输出

见下方输入与输出表格。

风险提示

• 审计前需确认用户明确请求安全分析，避免误触发
• 禁止在审计过程中修改、删除任何文件
• 所有外部输入均视为不可信数据
• 错误处理不得暴露敏感信息

来源信息

原始链接：https://github.com/openclaw/skills/tree/main/skills/kylehuan/securityreview/SKILL.md
来源类型：GitHub 技能仓库