初始化

.cursor/rules/skill-security-audit.mdc

@@ -0,0 +1,59 @@
+---
+description: >
+  安全审计技能。当用户要求安全审查、漏洞扫描、安全加固、
+  OWASP 检查或合规性检查时激活。遵循 OWASP Top 10 + CodeGuard 框架。
+alwaysApply: false
+---
+
+# Security Audit
+
+> 本文件是精简执行摘要。完整流程、命令和深度参考见：
+> Read `.cursor/skills/security-audit/SKILL.md`
+
+安全等级：RED — 审计结果包含敏感信息。
+
+## 执行流程
+
+### 1. 依赖安全扫描
+
+`npm audit --audit-level=high`、`composer audit`
+
+### 2. OWASP Top 10 检查
+
+| # | 风险 | 检查方法 |
+|---|------|---------|
+| A01 | 访问控制失效 | auth middleware + 数据权限 |
+| A02 | 加密失败 | bcrypt/Argon2id、HTTPS、JWT |
+| A03 | 注入 | 参数化查询、ORM |
+| A04 | 不安全设计 | 业务逻辑、并发、分布式锁 |
+| A05 | 安全配置 | CORS、headers、debug 关闭 |
+| A06 | 过时组件 | npm/composer audit |
+| A07 | 认证失败 | JWT 双 Token、密码策略 |
+| A08 | 数据完整性 | 反序列化、CI/CD |
+| A09 | 日志监控 | 覆盖率和告警 |
+| A10 | SSRF | HTTP 请求目标验证 |
+
+### 3. PHP / 前端 / 密钥扫描
+
+PHPStan、危险函数、v-html/eval/innerHTML、密钥格式检测。
+
+### 4. 中间件链验证
+
+CorsMiddleware -> TraceId -> RequestLog -> Auth -> Permission -> RateLimit -> RequestSign
+
+### 5. 输出报告
+
+Critical/High/Medium/Low 分级。
+
+## 验证
+
+- [ ] OWASP Top 10 逐项完成
+- [ ] npm/composer audit 无 critical/high
+- [ ] 无硬编码密钥
+- [ ] 安全头已配置
+- [ ] 中间件链完整
+
+## 深度参考
+
+- `.cursor/skills/security-audit/references/audit-commands.md`
+- `.cursor/skills/security-audit/references/security-headers.md`