| name | metago-security-audit |
| description | 安全审计技能。基于OWASP Top 10进行多维度安全审计,检测注入漏洞、认证授权缺陷、敏感信息泄露、依赖漏洞。输出含CVE引用、漏洞等级、修复方案的安全审计报告。遵循A36法律优先于效率原则。 |
| version | 1.0.0 |
| author | MetaGO |
| category | 安全合规 |
| platforms | ["cursor","claude-code","codex","trae","codebuddy","qoder","zcode","workbuddy","qclaw","ima"] |
| trigger | ["安全审计","漏洞扫描","OWASP检查","渗透测试","依赖安全评估"] |
安全审计(metago-security-audit)
描述
基于 OWASP Top 10 进行多维度安全审计,检测注入漏洞、认证授权缺陷、敏感信息泄露、依赖漏洞。输出含 CVE 引用、漏洞等级、修复方案的结构化报告。遵循 A36 法律优先于效率原则。
触发条件
- 用户请求安全审计、漏洞扫描、渗透测试时激活
- 代码合并前安全审查
- 依赖更新时安全评估
- 与
metago-compliance 协同:合规检查时联动安全审计
- 涉及用户数据、支付、权限的功能强制触发
核心流程
1. OWASP Top 10 检查
A01 - 失效的访问控制
- 路径遍历漏洞(../、绝对路径)
- 越权访问(水平/垂直越权)
- 未授权 API 端点
- 缺失权限校验
A02 - 加密失败
- 明文传输(HTTP、未加密 WebSocket)
- 弱加密算法(MD5、SHA1、DES)
- 硬编码密钥/证书
- 敏感数据明文存储
A03 - 注入
- SQL 注入(拼接查询、未参数化)
- 命令注入(shell 拼接、eval)
- XSS(反射型、存储型、DOM 型)
- LDAP/XPath/NoSQL 注入
A04 - 不安全设计
- 缺失威胁建模
- 不安全的业务流程(可重放、可绕过)
- 缺失速率限制(暴力破解、DoS)
- 敏感操作无二次确认
A05 - 安全配置错误
- 默认凭证未修改
- 错误信息泄露堆栈/路径
- 不安全的 HTTP 头(缺失 CSP、HSTS)
- 不必要的功能启用(DEBUG、TRACE)
A06 - 易受攻击的组件
- 已知 CVE 的依赖
- 过时依赖(超过 N 个版本)
- 未经审计的依赖(无签名、无 SBOM)
- 供应链攻击风险
A07 - 认证失败
- 弱密码策略
- 会话管理缺陷(固定会话、不过期)
- 缺失多因素认证(高权限场景)
- 凭证填充防护缺失
A08 - 数据完整性失败
- 反序列化漏洞
- 未签名的更新/插件
- CI/CD 管道安全
- 代码注入(include/require 用户输入)
A09 - 日志与监控失败
- 安全事件未记录
- 日志包含敏感信息
- 缺失告警机制
- 日志可篡改
A10 - 服务端请求伪造(SSRF)
- 用户输入直接用于 URL 请求
- 内网访问未限制
- 协议白名单缺失
- DNS 重绑定
2. 依赖漏洞扫描
- 检查 package.json / pom.xml / requirements.txt 依赖版本
- 比对 CVE 数据库
- 评估漏洞可利用性(CVSS 评分)
- 生成升级建议
3. 敏感信息检测
- 硬编码密钥(API Key、Token、Password)
- 日志中的敏感数据
- 配置文件中的明文凭证
- Git 历史中的敏感信息
漏洞等级标准
| 等级 | CVSS | 含义 | 处理时效 |
|---|
| 🔴 Critical | 9.0-10.0 | 立即修复(RCE、数据泄露) | 24 小时内 |
| 🟠 High | 7.0-8.9 | 尽快修复(注入、越权) | 7 天内 |
| 🟡 Medium | 4.0-6.9 | 计划修复(信息泄露) | 30 天内 |
| 🔵 Low | 0.1-3.9 | 评估修复(配置优化) | 下个版本 |
输出格式
【安全审计报告】
## 1. 审计概览
审计范围:[文件/模块/项目]
审计时间:YYYY-MM-DD
总体安全评级:A/B/C/D/F
漏洞统计:Critical=N, High=N, Medium=N, Low=N
## 2. 漏洞详情
### 🔴 Critical
[V-001] [漏洞名称]
类型:OWASP A0X - [类别]
位置:file.ext:LXX
描述:...
影响:...
CVE:CVE-2024-XXXX(如适用)
CVSS:X.X
修复方案:
1. ...
2. ...
参考标准:...
### 🟠 High
[V-002] ...
### 🟡 Medium
[V-003] ...
### 🔵 Low
[V-004] ...
## 3. 依赖漏洞
| 依赖 | 当前版本 | 漏洞版本 | CVE | CVSS | 建议版本 |
|------|----------|----------|-----|------|----------|
| ... | ... | ... | ... | ... | ... |
## 4. 敏感信息检测
| # | 类型 | 位置 | 风险 | 处理建议 |
|---|------|------|------|----------|
| 1 | 硬编码 API Key | file.ext:LXX | 高 | 移至环境变量 |
## 5. 安全配置检查
| 检查项 | 状态 | 建议 |
|--------|------|------|
| HTTPS 强制 | ✅/❌ | ... |
| CSP 头 | ✅/❌ | ... |
| HSTS | ✅/❌ | ... |
| 速率限制 | ✅/❌ | ... |
## 6. 审计结论
安全状态:✅ 通过 / ❌ 需修复后重新审计
合规状态:符合 / 不符合 [标准名]
优先修复项:V-001, V-002
与其他技能的协同
- 与
metago-compliance 协同:安全审计联动法律/伦理/安全合规检查
- 与
metago-code-review-deep 协同:代码审查的安全维度联动安全审计
- 与
metago-decision-lock 协同:安全审计报告需通过决策锁校验
- 与
metago-fact-check 协同:验证漏洞的可利用性(避免误报)
- 与
metago-problem-trace 协同:漏洞根因无限溯源
- 与
metago-critique 协同:审计结论需通过批判性分析