// Security audit with Quick/Full modes. Quick runs inside /review for auth/API changes. Full runs standalone with OWASP Top 10 + STRIDE. Use when touching security-sensitive code or for periodic audits.
Adaptive requirements clarification with auto-depth routing. Shallow (Q&A) for simple tasks, Deep (exploration + DRAFT + PLAN) for complex ones. Escalates automatically when ambiguity persists.
TDD implementation (RED→GREEN→REFACTOR) → verify → review. Use when a plan is approved and ready for coding. Drives the full chain automatically.
Structured root-cause debugging with scope lock. Use when hitting bugs, errors, or unexpected behavior. 4-phase: collect → analyze → hypothesize → fix.
오픈소스 기여 가능성 분석. GitHub 레포 URL 또는 이슈 링크를 받아 기여 가능 여부를 판단. Analyze open source contribution viability — use when the user asks about contributing to a GitHub repo, wants to find good first issues, or asks if an issue is worth working on. Trigger on phrases like 'contribute', 'open source', 'good first issue', 'can I work on this', '기여', '오픈소스'.
오픈소스 기여 실행. oss-clarify 분석 후 실제 기여 작업 수행 — 브랜치 생성, 코드 수정, 테스트, 커밋 메시지 추천. Execute open source contribution after oss-clarify analysis. Use when the user says 'proceed', 'contribute now', 'OSS 작업 시작', '기여 진행', or confirms they want to start working on an issue.
Use this skill whenever creating PPTX slides, presentations, or decks. Covers 30 modern design styles (Glassmorphism, Neo-Brutalism, Bento Grid, Dark Academia, Gradient Mesh, Claymorphism, Swiss International, Aurora Neon Glow, Retro Y2K, Nordic Minimalism, Typographic Bold, Duotone Color Split, Monochrome Minimal, Cyberpunk Outline, Editorial Magazine, Pastel Soft UI, Dark Neon Miami, Hand-crafted Organic, Isometric 3D Flat, Vaporwave, Art Deco Luxe, Brutalist Newspaper, Stained Glass Mosaic, Liquid Blob Morphing, Memphis Pop Pattern, Dark Forest Nature, Architectural Blueprint, Maximalist Collage, SciFi Holographic Data, Risograph Print) with exact color, font, and layout specifications. Activate for any presentation request including words like "sleek", "modern", "trendy", "designed", "stylish", or "visually striking" slides. Also trigger when users want to make existing slides "look better", need a specific aesthetic for a deck, or ask about presentation design in general.
| name | cso |
| description | Security audit with Quick/Full modes. Quick runs inside /review for auth/API changes. Full runs standalone with OWASP Top 10 + STRIDE. Use when touching security-sensitive code or for periodic audits. |
독립 스킬. 메인 플로우에 속하지 않음.
/review가 security_sensitive 코드 변경 감지 시 리뷰 에이전트 내부에서 자동 실행/cso 직접 호출 시 실행/review의 code-review 에이전트가 auth/middleware/API route 변경 감지 시 Pass 1에 포함하여 실행.
별도 스킬 호출 아님 — 리뷰 체크리스트의 확장.
| 검사 | 대상 |
|---|---|
| 인증/인가 경로 | 미보호 라우트, 권한 우회, 토큰 검증 누락 |
| 입력 검증 | SQL injection, XSS, command injection, path traversal |
| 시크릿 하드코딩 | 코드 내 API 키, 토큰, 비밀번호 |
| 의존성 취약점 | 알려진 CVE (npm audit / pip audit / cargo audit) |
/cso
│
├── Phase 1: 스택 감지
│ ├── 언어, 프레임워크, DB, 인프라 파악
│ └── 공격 표면 목록 작성 (API 엔드포인트, 외부 연동, 파일 업로드 등)
│
├── Phase 2: OWASP Top 10 검사
│ ├── A01 Broken Access Control
│ ├── A02 Cryptographic Failures
│ ├── A03 Injection
│ ├── A04 Insecure Design
│ ├── A05 Security Misconfiguration
│ ├── A06 Vulnerable Components
│ ├── A07 Auth Failures
│ ├── A08 Data Integrity Failures
│ ├── A09 Logging/Monitoring Failures
│ └── A10 SSRF
│
├── Phase 3: STRIDE 위협 모델링
│ ├── Spoofing — 인증 우회 가능성
│ ├── Tampering — 데이터 무결성 위반
│ ├── Repudiation — 감사 로그 부재
│ ├── Information Disclosure — 민감정보 노출
│ ├── Denial of Service — 리소스 고갈 가능성
│ └── Elevation of Privilege — 권한 상승 경로
│
├── Phase 4: 추가 검사
│ ├── git history 시크릿 스캔 (git log -p | 패턴 매칭)
│ ├── CI/CD 파이프라인 보안 (시크릿 주입 방식, 권한 범위)
│ ├── 환경변수 관리 (.env 파일 gitignore 여부, 프로덕션 분리)
│ └── API 엔드포인트 전수 검사 (인증 필요 여부, rate limiting)
│
├── Phase 5: 검증 + 오탐 필터링
│ ├── 각 발견 항목 실제 악용 가능한지 확인
│ ├── 프레임워크가 이미 방어하는 항목 제외
│ └── 오탐 제거
│
└── Phase 6: 리포트
| 등급 | 기준 | 예시 |
|---|---|---|
| CRITICAL | 즉시 악용 가능, 데이터 유출/변조 | SQL injection, 인증 우회, 시크릿 노출 |
| HIGH | 악용 조건 존재하나 현실적 위협 | 불충분한 rate limiting, CORS 과다 허용 |
| MEDIUM | 방어 심화 권장 | CSP 미설정, 불필요한 상세 에러 메시지 |
| LOW | 모범 사례 권장 | 감사 로그 미비, 보안 헤더 미설정 |
## Security Audit Report
### Stack
- Language: {lang}
- Framework: {framework}
- Attack Surface: {endpoint 수}개 API, {외부 연동 수}개 외부 서비스
### Findings
| # | 등급 | 카테고리 | 이슈 | 위치 | 권장 조치 |
|---|------|---------|------|------|----------|
| 1 | CRITICAL | A03 Injection | SQL 파라미터화 미사용 | src/db.ts:42 | prepared statement 사용 |
| 2 | HIGH | Spoofing | JWT 검증 누락 | src/auth.ts:15 | 미들웨어 추가 |
### Summary
- CRITICAL: {n}건
- HIGH: {n}건
- MEDIUM: {n}건
- LOW: {n}건
### Remediation Priority
1. {가장 시급한 항목 + 구체적 수정 방법}
2. ...
/review의 P0로 에스컬레이션