security-audit

Systematic security review for application code, dependencies, and configuration.

This skill is NOT a replacement for professional penetration testing or security audits. It identifies common vulnerabilities and provides remediation guidance within the scope of code review.

| Code Review | OWASP Top 10, injection, auth | New features, PRs, suspicious code | | Dependency | CVEs, outdated packages | Before deploy, periodic, CI/CD | | Configuration | Secrets, permissions, hardening | Infrastructure changes, new envs | | Architecture | Attack surface, data flow | Design phase, major refactors |

Проверка безопасности кода приложения, зависимостей, конфигураций и архитектуры. Охватывает OWASP Top 10, сканирование зависимостей, управление секретами, шаблоны аутентификации и безопасность API. Используйте этот навык при проверке безопасности кода, аудите зависимостей на наличие уязвимостей, проверке безопасности конфигурации, оценке конечных точек API или ответе на вопросы безопасности, связанные с реализациями. Триггеры по «безопасности», «аудиту», «уязвимости», «CVE», «OWASP», «инъекции», «XSS», «CSRF», «безопасности аутентификации», «недостатку авторизации». Источник: srstomp/pokayokay.