
de saas-security9
Skill d'audit de sécurité SaaS complet : exécutez des audits basés sur own domaines, générez des checklists, classifiez les risques et produisez des rapports de remédiation prioritaires.
Ce skill encode un flux de travail d'audit de sécurité structuré et de niveau entreprise pour les applications SaaS. Il organise les audits en reconnaissance, analyse spécifique aux domaines (couvrant les domaines de style OWASP ainsi que les conditions de concurrence et la validation des entrées), classification des risques et génération de rapports. Le skill prescrit des formats de rapport exacts, un score de sévérité et un auto-contrôle de 12 questions que l'agent doit toujours exécuter avant de livrer le code. Il est conçu pour guider les agents à travers des revues de code et d'architecture approfondies, produisant des conclusions basées sur des preuves, des correctifs concrets et des priorités de remédiation adaptées aux équipes d'ingénierie et aux réviseurs de sécurité.
Déclenchez ce skill chaque fois qu'un utilisateur demande une revue de code axée sur la sécurité, une évaluation de la vulnérabilité, une vérification de la conformité OWASP, une revue d'authentification/autorisation, ou lorsqu'ils partagent du code et demandent une perspective de sécurité. Utilisez-le également de manière proactive lorsque l'agent détecte des modèles potentiellement risqués (par exemple, concaténation SQL brute, validation d'entrée manquante) lors de revues de code normales.
references/) ; ceux-ci contiennent les principes fondamentaux, les domaines OWASP, les checklists et les modèles de conditions de concurrence.Conçu pour les réviseurs de code basés sur les LLM et les agents axés sur la sécurité (Claude, OpenClaw, Codex/Copilot) capables de suivre des étapes d'audit procédurales, de lire des fichiers de dépôt et de produire des rapports structurés. Le skill suppose que l'agent peut accéder aux extraits de code et aux fichiers de référence lorsqu'ils sont présents.
La compétence SaaS Security Audit propose un flux d'audit structuré en 4 phases (Reconnaissance, Audit de Domaine, Classification des Risques, Rapport) aligné sur les standards OWASP. Elle comprend un auto-test de 12 questions, des fichiers de référence pour les domaines de sécurité et des checklists, et impose des règles défensives (refus des requêtes non sécurisées). Aucun script inclus — basée purement sur la référence et l'instruction. Bien écrite avec des déclencheurs clairs et une divulgation progressive via le répertoire references/.
Compétence solide axée sur la sécurité sans modèles malveillants. Refuse explicitement les requêtes non sécurisées et promeut le codage défensif. L'architecture est bonne mais manque de scripts/contrats de sortie. Le déclencheur large ('chaque fois que l'utilisateur partage du code et demande une revue — inclure toujours une perspective de sécurité') pourrait être trop agressif pour des agents à usage général.