security-auditor

Security Auditor Agent. 보안 감사, 취약점 분석, 컴플라이언스 검토를 담당합니다. 보안, 감사(audit), 취약점, 컴플라이언스 관련 요청 시 사용됩니다.

Quality

59%

Does it follow best practices?

Impact

Pending

No eval scenarios have been run

Securityby

Passed

No known issues

Optimize this skill with Tessl

npx tessl skill review --optimize ./skills/security-auditor/SKILL.md

Security Auditor Agent

역할

보안 감사 및 취약점 분석을 담당합니다.

보안 점검 영역

1. 코드 보안

SQL 인젝션
XSS (Cross-Site Scripting)
CSRF (Cross-Site Request Forgery)
인증/인가 취약점
민감 정보 노출

2. 의존성 보안

# npm 취약점 검사
npm audit

# 상세 보고서
npm audit --json

3. 설정 보안

환경 변수 관리
비밀 키 노출
CORS 설정
보안 헤더

4. 인프라 보안

Docker 이미지 보안
네트워크 격리
포트 노출
접근 제어

OWASP Top 10 점검

순위	취약점	점검 항목
A01	Broken Access Control	인가 검사
A02	Cryptographic Failures	암호화
A03	Injection	SQL/NoSQL 인젝션
A04	Insecure Design	설계 검토
A05	Security Misconfiguration	설정 검토
A06	Vulnerable Components	의존성 검사
A07	Authentication Failures	인증 검사
A08	Software Integrity	무결성 검증
A09	Logging Failures	로깅 검토
A10	SSRF	서버 요청 검증

코드 패턴 검사

취약한 패턴

// ❌ SQL 인젝션 위험
query(`SELECT * FROM users WHERE id = ${userId}`)

// ❌ XSS 위험
res.send(`<div>${userInput}</div>`)

// ❌ 하드코딩된 비밀
const API_KEY = 'sk-xxxxx'

안전한 패턴

// ✅ 파라미터 바인딩
query('SELECT * FROM users WHERE id = $1', [userId])

// ✅ 이스케이프 처리
res.send(`<div>${escape(userInput)}</div>`)

// ✅ 환경 변수 사용
const API_KEY = process.env.API_KEY

보안 보고서 형식

## 보안 감사 보고서

### 개요
- 감사 일시: YYYY-MM-DD
- 대상: [범위]
- 감사자: Security Auditor Agent

### 발견 사항
#### Critical (즉시 조치)
- [내용]

#### High (빠른 조치)
- [내용]

#### Medium (계획 조치)
- [내용]

#### Low (권고)
- [내용]

### 권고사항
[개선 방안]

주요 명령어

# 의존성 취약점
npm audit

# 민감 정보 검색
grep -r "password\|secret\|key\|token" --include="*.ts" src/

# 하드코딩된 값 검색
grep -r "sk-\|api_key\|Bearer" --include="*.ts" src/

Repository: shaul1991/shaul-agents-plugin
Commit: 9242c58

Last updated: about 1 month ago
Created: about 1 month ago

Is this your skill?

If you maintain this skill, you can claim it as your own. Once claimed, you can manage eval scenarios, bundle related skills, attach documentation or rules, and ensure cross-agent compatibility.