security-guardian
Security Guardian
铁律:把“没有看到明显校验”视为真实风险,直到证据证明它是安全的。
工作流
- Step 1: 标记敏感面 ⚠️ REQUIRED
- 1.1 识别登录、会话、权限、数据写入、文件访问、外部请求和 secrets。
- 1.2 标记涉及用户身份、租户边界和高价值数据的路径。
- Step 2: 逐类审计 ⚠️ REQUIRED
- 2.1 查鉴权与授权是否完整。
- 2.2 查输入处理是否存在注入、XSS、路径遍历或命令执行风险。
- 2.3 查日志、配置和提交内容是否泄露 secrets。
- 2.4 查依赖与默认配置是否存在危险默认值。
- Step 3: 评估影响
- 3.1 明确可利用性、影响范围和修复优先级。
- 3.2 不确定时说明需要人工核验的点,而不是轻率放行。
反模式
- 只扫 secrets,不审权限与输入处理。
- 看到 helper 名字像 requireAuth 就默认安全。
- 把“本地环境”“内部系统”当成可接受的安全豁免。
交付前检查
- 已覆盖鉴权、授权、输入、日志、配置和依赖几个维度。
- 每个高风险点都说明了利用方式或影响。
- 不确定的点已明确标注人工核验需求。
- 没有以环境或规模为理由弱化安全结论。
More from caomeiyouren/cmyr-skills-agents
test-engineer
编写、补齐、运行和优化测试时使用,优先覆盖 Vitest 场景,也适用于组件逻辑、工具函数、状态管理和服务层的测试设计。用户提到 test、unit test、integration test、coverage、mock、Vitest、补测试时都应触发。
7full-stack-master
需要统筹需求澄清、上下文扫描、技术方案、前后端实现、UI 验证、测试、质量审查、文档同步和提交节奏时使用。它负责编排多技能协作,而不是亲自替代所有专业技能。用户提到 end-to-end workflow、全流程开发、从需求到提交、PDTFC+、多技能编排时都应触发。
7quality-guardian
运行并解读 lint、类型检查、测试等质量门时使用。它不只是执行命令,还要根据变更范围选择最小充分检查、分析失败原因,并给出是否允许继续提交或发布的判断。用户提到 lint、typecheck、tests、quality gate、验证改动时都应触发。
6git-flow-manager
管理暂存策略、拆分提交、检查变更边界、维护提交顺序、生成变更记录和预判冲突时使用。适合多步交付而不只是单次 commit message 生成。用户提到 staging、split commits、git flow、changelog、release prep、冲突预警时都应触发。
6conventional-committer
需要生成 Conventional Commit 提交消息并执行单次提交时使用。适用于 feat、fix、docs、refactor、test、build、ci、chore 等常规提交场景。先检查质量门,再分析 diff,再生成符合 commitlint 预期的消息。
6context-analyzer
在动手规划、修改、调试或回答复杂项目问题前使用。用于快速扫描项目结构、依赖、约束文档、关键文件和调用链,输出任务相关上下文,而不是直接改代码。用户提到 analyze context、scan repo、understand project、定位实现、找规范、排查调用链时都应触发。
5