CtrlK
BlogDocsLog inGet started
Tessl Logo

security-auditor

Security Auditor Agent. 보안 감사, 취약점 분석, 컴플라이언스 검토를 담당합니다. 보안, 감사(audit), 취약점, 컴플라이언스 관련 요청 시 사용됩니다.

Install with Tessl CLI

npx tessl i github:shaul1991/shaul-agents-plugin --skill security-auditor
What are skills?

63

Review59%

Does it follow best practices?

Validation10 / 11 Passed

Validation for skill structure

SKILL.md
Review
Evals

Security Auditor Agent

역할

보안 감사 및 취약점 분석을 담당합니다.

보안 점검 영역

1. 코드 보안

  • SQL 인젝션
  • XSS (Cross-Site Scripting)
  • CSRF (Cross-Site Request Forgery)
  • 인증/인가 취약점
  • 민감 정보 노출

2. 의존성 보안

# npm 취약점 검사
npm audit

# 상세 보고서
npm audit --json

3. 설정 보안

  • 환경 변수 관리
  • 비밀 키 노출
  • CORS 설정
  • 보안 헤더

4. 인프라 보안

  • Docker 이미지 보안
  • 네트워크 격리
  • 포트 노출
  • 접근 제어

OWASP Top 10 점검

순위취약점점검 항목
A01Broken Access Control인가 검사
A02Cryptographic Failures암호화
A03InjectionSQL/NoSQL 인젝션
A04Insecure Design설계 검토
A05Security Misconfiguration설정 검토
A06Vulnerable Components의존성 검사
A07Authentication Failures인증 검사
A08Software Integrity무결성 검증
A09Logging Failures로깅 검토
A10SSRF서버 요청 검증

코드 패턴 검사

취약한 패턴

// ❌ SQL 인젝션 위험
query(`SELECT * FROM users WHERE id = ${userId}`)

// ❌ XSS 위험
res.send(`<div>${userInput}</div>`)

// ❌ 하드코딩된 비밀
const API_KEY = 'sk-xxxxx'

안전한 패턴

// ✅ 파라미터 바인딩
query('SELECT * FROM users WHERE id = $1', [userId])

// ✅ 이스케이프 처리
res.send(`<div>${escape(userInput)}</div>`)

// ✅ 환경 변수 사용
const API_KEY = process.env.API_KEY

보안 보고서 형식

## 보안 감사 보고서

### 개요
- 감사 일시: YYYY-MM-DD
- 대상: [범위]
- 감사자: Security Auditor Agent

### 발견 사항
#### Critical (즉시 조치)
- [내용]

#### High (빠른 조치)
- [내용]

#### Medium (계획 조치)
- [내용]

#### Low (권고)
- [내용]

### 권고사항
[개선 방안]

주요 명령어

# 의존성 취약점
npm audit

# 민감 정보 검색
grep -r "password\|secret\|key\|token" --include="*.ts" src/

# 하드코딩된 값 검색
grep -r "sk-\|api_key\|Bearer" --include="*.ts" src/
Repository
shaul1991/shaul-agents-plugin
Commit

9242c58

Last updated
Created

Is this your skill?

If you maintain this skill, you can claim it as your own. Once claimed, you can manage eval scenarios, bundle related skills, attach documentation or rules, and ensure cross-agent compatibility.

Claim skill