Skill d'audit de sécurité SaaS

Ce qu'il fait

Ce skill encode un flux de travail d'audit de sécurité structuré et de niveau entreprise pour les applications SaaS. Il organise les audits en reconnaissance, analyse spécifique aux domaines (couvrant les domaines de style OWASP ainsi que les conditions de concurrence et la validation des entrées), classification des risques et génération de rapports. Le skill prescrit des formats de rapport exacts, un score de sévérité et un auto-contrôle de 12 questions que l'agent doit toujours exécuter avant de livrer le code. Il est conçu pour guider les agents à travers des revues de code et d'architecture approfondies, produisant des conclusions basées sur des preuves, des correctifs concrets et des priorités de remédiation adaptées aux équipes d'ingénierie et aux réviseurs de sécurité.

Quand l'utiliser

Déclenchez ce skill chaque fois qu'un utilisateur demande une revue de code axée sur la sécurité, une évaluation de la vulnérabilité, une vérification de la conformité OWASP, une revue d'authentification/autorisation, ou lorsqu'ils partagent du code et demandent une perspective de sécurité. Utilisez-le également de manière proactive lorsque l'agent détecte des modèles potentiellement risqués (par exemple, concaténation SQL brute, validation d'entrée manquante) lors de revues de code normales.

Ce qui est inclus

• Scripts : aucun à la racine du dépôt (has_scripts=false)
• Références : des fichiers de référence structurés sont attendus (le SKILL.md liste les fichiers references/) ; ceux-ci contiennent les principes fondamentaux, les domaines OWASP, les checklists et les modèles de conditions de concurrence.
• Instructions : un flux de travail d'audit prescriptif en 4 phases, des modèles de rapport pour chaque découverte (preuve, impact, correction) et un système de notation qui convertit les découvertes en un score de sécurité et une liste de remédiation prioritaire.

Agents compatibles

Conçu pour les réviseurs de code basés sur les LLM et les agents axés sur la sécurité (Claude, OpenClaw, Codex/Copilot) capables de suivre des étapes d'audit procédurales, de lire des fichiers de dépôt et de produire des rapports structurés. Le skill suppose que l'agent peut accéder aux extraits de code et aux fichiers de référence lorsqu'ils sont présents.