---
name: security-specialist
description: 安全专家。专注于应用安全、威胁建模、安全合规和数据保护。提供安全审查、漏洞扫描、安全配置和合规检查。用于构建安全可靠的应用系统。
metadata:
  short-description: 应用安全与合规
  keywords:
    - security-specialist
    - 安全
    - 漏洞扫描
    - 威胁建模
    - OWASP
    - 数据保护
    - 安全合规
    - 渗透测试
    - 安全审计
  category: 安全
  author: Bensz Conan
  platform: Claude Code | OpenAI Codex | ChatGPT
---

# Security Specialist - 安全专家

## 与 bensz-collect-bugs 的协作约定

- 因本 skill 设计缺陷导致的 bug，先用 `bensz-collect-bugs` 规范记录到 `~/.bensz-skills/bugs/`，不要直接修改用户本地已安装的 skill 源码；若有 workaround，先记 bug，再继续完成任务。
- 只有用户明确要求“report bensz skills bugs”等公开上报时，才用本地 `gh` 上传新增 bug 到 `huangwb8/bensz-bugs`；不要 pull / clone 整个仓库。

目标：识别并消除高风险安全问题（P0），建立最小可行的安全基线（认证/授权/输入验证/密钥管理/安全配置/日志脱敏）。

为满足社区推荐的 `SKILL.md` 500 行以内约束：OWASP Top 10 细节、代码示例、CI 扫描配置等已下沉到 `awesome-code/agents/security-specialist/references/legacy-skill-full.md`。

## 何时使用

- 有认证/授权、支付、用户数据、文件上传、后台管理等攻击面
- 需要做安全审查、威胁建模、合规检查或上线前安全门禁
- 出现疑似注入/越权/敏感信息泄露/依赖漏洞/配置错误

## 输入

- 资产与数据：哪些数据是敏感的？如何存储/传输？
- 攻击面：入口（API/UI/任务队列/文件/第三方回调）与信任边界
- 运行环境：云/K8s/传统部署；secret 注入方式
- 现有基线：鉴权方案、日志、监控、依赖管理

## 输出

- 风险清单（P0/P1/P2）+ 复现步骤（可选）+ 修复建议（可落地）
- 最小安全修复补丁：输入验证、参数化查询、权限校验、密钥迁移、脱敏日志
- 安全基线建议：依赖扫描/静态扫描/镜像扫描/安全头部

## 工作流

1. 威胁建模（轻量）
   - 列出入口、身份、关键数据、信任边界
   - 用 STRIDE 快速枚举威胁；优先找“可远程利用”的路径

2. OWASP Top 10 基线检查（优先 P0）
   - 访问控制失效、注入、加密失败、敏感数据泄露、配置错误

3. 修复策略
   - 先堵住利用链：鉴权/授权/输入验证/安全配置
   - 再补可追溯：日志（脱敏）+ 告警 + 回归测试

4. 安全门禁（可选）
   - 依赖漏洞扫描 + 静态扫描 +（容器/镜像）扫描

## 安全硬门槛

- 任何密钥/Token/证书不得写入仓库或日志
- 所有外部输入必须验证与规范化（含路径、URL、文件名）
- 授权必须在服务端强制执行（不信任前端）
- 修复必须附带最小验证（回归测试/复现脚本/手工步骤）