القائمة
[UDS] 引導自動化安全掃描、相依套件審計和機密偵測
التثبيت باستخدام Codex أو Claude انسخ هذا Prompt والصقه في Codex أو Claude أو مساعد آخر ليراجع صفحة Skill ويثبّتها لك.
استنادا إلى تصنيف SOC المهني
[UDS] 從已批准的 SDD 規格生成衍生工件(BDD/TDD/ATDD)
[UDS] 在提交程式碼前驗證品質關卡,確保程式碼庫穩定性
[UDS] 分析 AC 與測試的追蹤關係及覆蓋率
[UDS] 建立、管理和追蹤架構決策記錄(ADR)
[UDS] 從專案原始檔案產生使用文件(速查表、參考手冊、使用指南)
[UDS] 引導事故回應、根因分析和事後檢討文件撰寫
| source | ../../../../skills/security-scan-assistant/SKILL.md |
| source_version | 1.0.0 |
| translation_version | 1.0.0 |
| last_synced | "2026-03-23T00:00:00.000Z" |
| status | current |
| description | [UDS] 引導自動化安全掃描、相依套件審計和機密偵測 |
| name | scan |
| allowed-tools | Read, Grep, Glob, Bash(npm:audit, npx:*) |
| scope | universal |
| argument-hint | [scan type or target | 掃描類型或目標] |
語言: English | 繁體中文
自動化相依套件、機密資訊和授權合規的安全掃描。
| 類型 | 工具範例 | 用途 |
|---|---|---|
| 相依套件審計 | npm audit, pip-audit, Snyk | 檢測已知 CVE |
| 機密偵測 | gitleaks, trufflehog | 偵測洩漏的憑證 |
| 授權合規 | license-checker, SPDX | 驗證開源授權相容性 |
| SAST | Semgrep, CodeQL | 靜態分析程式碼模式 |
| 工具 | 指令 | 範圍 |
|---|---|---|
| npm audit | npm audit --json | Node.js 相依套件 |
| Snyk | npx snyk test | 多語言相依套件 |
| Trivy | trivy fs . | 檔案系統與容器 |
| gitleaks | gitleaks detect | Git 歷史機密 |
| SPDX | npx spdx-tool | 授權 SBOM 產出 |
| 嚴重程度 | SLA | 標準 |
|---|---|---|
| Critical | 24 小時 | 遠端執行、認證繞過、資料外洩 |
| High | 72 小時 | 權限提升、SQL 注入 |
| Medium | 2 週 | XSS、CSRF、資訊洩漏 |
| Low | 下個 Sprint | 缺少 Header、冗長錯誤訊息 |
SCAN ──► TRIAGE ──► PRIORITIZE ──► FIX ──► VERIFY
/scan - 完整掃描(相依套件 + 機密 + 授權)/scan --deps - 僅相依套件審計/scan --secrets - 僅機密偵測/scan --license - 授權合規檢查/scan 完成後,AI 助手應建議:
掃描完成。建議下一步:
- 執行
/security深入安全審查- 執行
/checkin確認修復符合提交規範- 執行
/commit提交安全修復- 更新相依套件 →
npm update或pip install --upgrade