---
description: >
  安全审计技能。当用户要求安全审查、漏洞扫描、安全加固、
  OWASP 检查或合规性检查时激活。遵循 OWASP Top 10 + CodeGuard 框架。
alwaysApply: false
---

# Security Audit

> 本文件是精简执行摘要。完整流程、命令和深度参考见：
> Read `.cursor/skills/security-audit/SKILL.md`

安全等级：RED — 审计结果包含敏感信息。

## 执行流程

### 1. 依赖安全扫描

`npm audit --audit-level=high`、`composer audit`

### 2. OWASP Top 10 检查

| # | 风险 | 检查方法 |
|---|------|---------|
| A01 | 访问控制失效 | auth middleware + 数据权限 |
| A02 | 加密失败 | bcrypt/Argon2id、HTTPS、JWT |
| A03 | 注入 | 参数化查询、ORM |
| A04 | 不安全设计 | 业务逻辑、并发、分布式锁 |
| A05 | 安全配置 | CORS、headers、debug 关闭 |
| A06 | 过时组件 | npm/composer audit |
| A07 | 认证失败 | JWT 双 Token、密码策略 |
| A08 | 数据完整性 | 反序列化、CI/CD |
| A09 | 日志监控 | 覆盖率和告警 |
| A10 | SSRF | HTTP 请求目标验证 |

### 3. PHP / 前端 / 密钥扫描

PHPStan、危险函数、v-html/eval/innerHTML、密钥格式检测。

### 4. 中间件链验证

CorsMiddleware -> TraceId -> RequestLog -> Auth -> Permission -> RateLimit -> RequestSign

### 5. 输出报告

Critical/High/Medium/Low 分级。

## 验证

- [ ] OWASP Top 10 逐项完成
- [ ] npm/composer audit 无 critical/high
- [ ] 无硬编码密钥
- [ ] 安全头已配置
- [ ] 中间件链完整

## 深度参考

- `.cursor/skills/security-audit/references/audit-commands.md`
- `.cursor/skills/security-audit/references/security-headers.md`