auditing-security

Skill do kompleksowej oceny bezpieczeństwa aplikacji. Identyfikuje podatności w kodzie, mapuje je do standardów OWASP Top 10 i PCI-DSS, przypisuje punkty CVSS oraz proponuje konkretne kroki naprawcze. Przydatny przed wdrożeniem, podczas audytu bezpieczeństwa, weryfikacji zgodności (GDPR, HIPAA) i analizy incydentów. Analizuje architekturę, specyfikacje API i implementacje funkcji.

1. Przygotuj materiały do audytu: kod źródłowy komponentu lub całej aplikacji, dokumentację architektury (system-design.md), specyfikacje API (api-contracts.yaml) oraz opisy funkcji (feature-spec). 2. Określ zakres audytu — czy chcesz sprawdzić konkretną funkcję, cały system, czy zbadać znaną lukę bezpieczeństwa. 3. Wskaż główne zagrożenia, które Cię interesują: ataki injekcyjne (SQL, XSS), obejście autentykacji, wyciek danych, problemy z kontrolą dostępu lub bezpieczeństwo API. 4. Wymień dane wrażliwe w aplikacji: dane osobowe (PII), hasła, dane finansowe, informacje medyczne lub tajemnice biznesowe — to pomoże skill ustalić priorytet ryzyka. 5. Opisz istniejące zabezpieczenia: typ sesji/tokenów (JWT), model uprawnień (RBAC/ABAC), szyfrowanie (TLS), walidację danych wejściowych, nagłówki bezpieczeństwa, rate limiting. 6. Skill zwróci listę podatności pogrupowanych po ważności (CRITICAL, HIGH, MEDIUM, LOW), z mapowaniem do OWASP Top 10, punktami CVSS, scenariuszami exploitacji i kodem naprawczym.