Security Audit

springboot-security는 인증, 인가, 검증, CSRF/CORS, 비밀 정보, 헤더, 레이트 리밋, 의존성 점검까지 다루는 실용적인 Spring Boot 보안 가이드입니다. 보안 감사 작업에 springboot-security 스킬을 사용하거나, 보안 설정 오류 위험을 줄이면서 Java 서비스를 강화할 때 활용할 수 있습니다.

skill-comply는 에이전트가 실제 실행에서 skill, rule, 또는 agent definition을 제대로 따르는지 확인하는 컴플라이언스 테스트 skill입니다. markdown에서 spec을 생성하고, 세 가지 prompt 엄격도 수준으로 실행한 뒤, tool-call 타임라인을 분류하고, 증거와 함께 compliance rate를 보고합니다. Compliance Review용 skill-comply를 검토할 때 유용합니다.

security-scan 스킬은 AgentShield를 사용해 Claude Code의 `.claude/` 설정을 감사하며, 비밀정보, 위험한 MCP 설정, 주입 취약 지시문, 위험한 우회 플래그, 취약한 에이전트 또는 hook 정의를 점검합니다. 커밋 전이나 온보딩 전에 반복 가능한 보안 점검을 할 때 유용합니다.

security-review 스킬로 인증, 사용자 입력, 비밀정보, API, 결제, 업로드 등 민감한 흐름을 점검하세요. 명확한 합격/불합격 기준, 위험 패턴 예시, 그리고 출시 전에 흔한 문제를 잡아내기 위한 집중형 프로세스를 갖춘 실용적인 보안 점검 가이드를 제공합니다.

security-bounty-hunter는 저장소에서 버그바운티에 적합한 취약점을 찾도록 도와줍니다. 원격에서 도달 가능하고 사용자가 제어할 수 있으며, 트리아지에서도 살아남을 가능성이 높은 이슈에 초점을 맞춥니다. 소음이 큰 로컬 전용 문제보다 실제로 보고 가능한 결과가 필요한 Security Audit 작업에 활용하기 좋습니다.

repo-scan은 파일을 분류하고, 내장된 서드파티 라이브러리를 찾아내며, 무엇이 핵심이고 무엇이 중복되거나 불필요한지 판단하는 데 도움을 주는 크로스스택 소스 감사 skill입니다. Code Review, 레거시 마이그레이션, 리팩터링 계획 수립에 특히 유용합니다. skill 안에서 repo-scan install 및 repo-scan usage 가이드를 확인할 수 있습니다.

perl-security는 더 안전한 입력 처리, taint mode, 셸 실행, DBI 플레이스홀더, 그리고 XSS, SQLi, CSRF 같은 웹 보안 이슈를 중심으로 Perl 코드를 검토하는 데 도움을 줍니다. 사용자 제어 데이터가 민감한 sink에 도달하는 Security Audit 작업, 개선 계획 수립, 보안 개발에 이 perl-security 스킬을 사용하세요.

llm-trading-agent-security는 지갑 권한을 가진 자율 거래 에이전트를 안전하게 보호하기 위한 실용 가이드입니다. 프롬프트 인젝션, 지출 한도, 전송 전 시뮬레이션, 서킷 브레이커, MEV를 고려한 실행, 키 분리를 다루며, Security Audit에서 금융 손실 위험을 줄이는 데 도움이 됩니다.

laravel-security는 인증, 권한 부여, 검증, CSRF, 대량 할당, 파일 업로드, 비밀 정보, 속도 제한, 보안 배포까지 다루는 실용적인 Laravel 보안 체크리스트입니다. Laravel 앱의 감사, 기능 검토, 보안 강화 작업에 활용할 수 있습니다.

hipaa-compliance는 의료 개인정보 보호와 보안 작업을 위한 HIPAA 전용 진입점입니다. 과제가 PHI, 적용 대상 기관, BAA, 침해 대응 상태, 또는 어떤 워크플로가 HIPAA 노출을 만들 수 있는지에 대해 직접 다뤄질 때 hipaa-compliance 스킬을 사용하세요. 빠른 규정 분류와 안내를 위한 얇은 오버레이입니다.

healthcare-phi-compliance는 데이터 모델, API, 로그, 접근 경로 전반에서 의료 앱의 PHI/PII 위험을 검토하도록 돕습니다. 데이터 분류, 접근 제어, 암호화, 감사 추적, 그리고 HIPAA, DISHA, GDPR 및 관련 보안 감사 요구사항에 대한 일반적인 유출 경로를 점검할 때 사용할 수 있습니다.

healthcare-eval-harness는 의료 앱 배포를 위한 환자 안전 평가 하니스입니다. 릴리스 전에 팀이 CDSS 정확도, PHI 노출, 데이터 무결성, 임상 워크플로 동작, 통합 준수 여부를 검증하는 데 도움이 됩니다. 치명적 실패가 배포를 차단하므로, Model Evaluation과 CI 안전 게이트에서 healthcare-eval-harness를 활용하기에 유용합니다.

github-ops는 `gh` CLI를 사용해 이슈 분류, PR 관리, CI 실패 확인, 릴리스 준비, 저장소 상태 모니터링을 돕는 GitHub 운영 스킬입니다. 실제 저장소에서 반복 가능한 github-ops 사용이 필요하고, `gh auth login`으로 인증하며 명확한 저장소 컨텍스트를 유지해야 할 때 이 스킬을 사용하세요.

ecc-tools-cost-audit는 ECC Tools의 비용 급증, PR 폭주 생성, 쿼터 우회, 프리미엄 모델 누출, 중복 작업을 증거 중심으로 점검하는 감사용 skill입니다. 웹훅에서 워커, 그리고 청구 결정까지 요청 흐름을 추적해야 하는 Backend Development 조사에 사용하면, 비용이 어디서 발생했는지 근거로 입증할 수 있습니다.

django-verification은 Django 백엔드 프로젝트를 위한 릴리스 준비 상태 점검 스킬입니다. 환경 점검, lint, 포맷팅, 타입 검사, 마이그레이션, 커버리지 포함 테스트, 보안 스캔, 배포 준비 상태까지 안내해 PR이나 릴리스 전에 문제를 미리 잡을 수 있게 해줍니다.

django-security는 인증, 인가, CSRF, XSS, SQL 인젝션 방지, 보안 쿠키, 운영 환경 설정을 중심으로 Django 앱을 강화하는 실용 가이드입니다. 개발자와 리뷰어가 집중적인 보안 감사(Security Audit)를 수행하고, 위험한 설정을 빠르게 찾아내며, 배포 전에 구체적인 수정안을 적용하는 데 도움을 줍니다.

defi-amm-security는 Solidity 기반 AMM, 유동성 풀, LP 볼트, 스왑 흐름을 위한 보안 체크리스트에 초점을 맞춘 스킬입니다. 일반적인 프롬프트보다 덜 막연하게 재진입 공격, CEI 순서, 기부/인플레이션 공격, 오라클 가정, 슬리피지, 관리자 권한 통제, 정수 연산을 점검하도록 도와 감사자와 엔지니어의 리뷰 효율을 높입니다.

code-reviewer는 코드나 diff를 보안, 성능, 베스트 프랙티스, 심각도, 영향 받은 라인 또는 섹션, 권장 수정안, 전체 품질 점수까지 담은 구조화된 보고서로 바꿔주는 가벼운 Code Review 스킬입니다.

code-reviewer는 보안, 성능, 정확성, 유지보수성 순서로 엄격하게 검토하는 AI 코드 리뷰 스킬입니다. SQL injection, XSS, N+1 queries, error handling, naming, type hints용 규칙 파일을 활용해, 일반적인 리뷰 프롬프트보다 PR 리뷰를 더 일관되게 수행할 수 있습니다.

cso는 에이전트를 위한 Chief Security Officer 스타일의 보안 감사 스킬입니다. 코드베이스와 워크플로에서 비밀 정보 노출, 의존성 및 공급망 리스크, CI/CD 보안, LLM/AI 보안을 OWASP Top 10과 STRIDE 기준으로 검토하는 데 도움을 줍니다. 신뢰도 게이트, 능동 검증, 추세 추적이 포함된 구조화된 Security Audit 리뷰에 cso를 사용하세요.

attack-tree-construction은 위협 모델링을 위해 루트 목표, AND/OR 분기, 검증 가능한 리프 공격을 갖춘 구조화된 공격 트리를 만드는 데 도움을 줍니다. 공격 경로를 매핑하고, 방어 공백을 드러내며, 보안 검토·테스트·완화 계획 수립을 지원할 때 유용합니다.

sast-configuration 스킬은 실제 SAST 워크플로에 맞춰 Semgrep, SonarQube, CodeQL을 구성하는 데 도움을 줍니다. 설치 단계 계획, CI/CD 연동, 커스텀 규칙, 품질 게이트, 오탐 조정을 포함해 Security Audit 및 저장소별 스캔 구성을 검토할 때 유용합니다.

stride-analysis-patterns는 아키텍처, API, 데이터 흐름을 대상으로 구조화된 STRIDE 위협 모델링 검토를 수행하도록 에이전트를 돕는 스킬입니다. `wshobson/agents` 저장소에서 설치한 뒤 `SKILL.md`를 확인하면, 시스템 설명을 범주화된 위협과 통제 중심의 리뷰 결과로 정리하는 데 활용할 수 있습니다.

threat-mitigation-mapping 스킬은 식별된 위협을 계층별 예방·탐지·교정 통제에 매핑해 defense-in-depth 설계, remediation 계획 수립, 통제 커버리지 검토를 지원합니다.