安全运营工程师

技能简介

Senior SecOps Engineer 是一套面向应用安全的综合工具集，覆盖漏洞管理、合规验证、安全编码实践与安全自动化。通过代码扫描、依赖审计、合规检查三类核心能力，帮助开发团队在软件生命周期中识别风险、满足监管要求。

能做什么

• 扫描源代码中的硬编码密钥、SQL注入、XSS、命令注入等漏洞
• 检测 npm、Python、Go 依赖的已知 CVE 并输出 CVSS 评分与修复版本
• 针对 SOC 2、PCI-DSS、HIPAA、GDPR 框架执行合规控制点验证
• 生成 JSON 格式报告供 CI/CD 流水线集成

使用说明

安装准备

本技能基于 Python 脚本运行，需确保环境已安装 Python 3.x。将技能仓库克隆至本地后，进入对应目录即可调用脚本。

步骤一：代码漏洞扫描

python scripts/security_scanner.py /path/to/project
python scripts/security_scanner.py /path/to/project --severity high
python scripts/security_scanner.py /path/to/project --json --output report.json

步骤二：依赖漏洞评估

python scripts/vulnerability_assessor.py /path/to/project
python scripts/vulnerability_assessor.py /path/to/project --severity high
python scripts/vulnerability_assessor.py /path/to/project --json --output vulns.json

步骤三：合规框架检查

python scripts/compliance_checker.py /path/to/project
python scripts/compliance_checker.py /path/to/project --framework soc2
python scripts/compliance_checker.py /path/to/project --json --output compliance.json

输入与输出

见下方输入与输出表格。

风险提示

• 扫描过程可能读取敏感配置文件，建议在隔离环境或授权范围内执行
• CVE 数据库存在滞后性，零日漏洞无法被检出
• 合规检查结果仅供参考，正式审计需由持证机构完成
• 自动化修复建议需人工复核，避免误删业务代码

来源信息

原始链接：https://github.com/openclaw/skills/tree/main/skills/alirezarezvani/senior-secops/SKILL.md
来源类型：GitHub 开源技能