Compliance Review

skill-comply là một skill kiểm thử tuân thủ, dùng để kiểm tra liệu một agent có thực sự làm theo một skill, rule hoặc agent definition trong các lần chạy thực tế hay không. Skill này tạo spec từ markdown, chạy 3 mức độ nghiêm ngặt của prompt, phân loại timeline tool-call và báo cáo tỷ lệ tuân thủ kèm bằng chứng. Hữu ích cho skill-comply trong rà soát tuân thủ.

Dùng skill security-review để rà soát auth, đầu vào người dùng, secrets, APIs, thanh toán, uploads và các luồng nhạy cảm khác. Skill này cung cấp một hướng dẫn security-review thực tế với các kiểm tra pass/fail rõ ràng, ví dụ về mẫu thiết kế rủi ro, và quy trình tập trung để phát hiện các lỗi phổ biến trước khi phát hành.

quality-nonconformance là một kỹ năng cho sản xuất có kiểm soát, phục vụ tiếp nhận NCR, phân tích nguyên nhân gốc, CAPA, diễn giải SPC và quyết định xử lý cuối cùng. Hãy dùng khi cần Compliance Review, xử lý vấn đề chất lượng nhà cung cấp và ra quyết định dựa trên bằng chứng, nơi khả năng truy xuất, rủi ro và phán đoán sẵn sàng cho kiểm toán là yếu tố then chốt.

perl-security giúp bạn rà soát mã Perl để xử lý đầu vào an toàn hơn, chế độ taint mode, thực thi shell, placeholder DBI, và các vấn đề bảo mật web như XSS, SQLi, và CSRF. Hãy dùng skill perl-security này cho công việc Security Audit, lập kế hoạch khắc phục, và phát triển an toàn khi dữ liệu do người dùng kiểm soát đi vào các sink nhạy cảm.

Skill laravel-security là một checklist bảo mật Laravel thực tiễn cho authn/authz, validation, CSRF, mass assignment, upload file, secrets, rate limiting và triển khai an toàn. Hãy dùng nó cho audit, rà soát tính năng và siết chặt bảo mật trong các ứng dụng Laravel.

hipaa-compliance là điểm vào dành riêng cho HIPAA trong công việc về quyền riêng tư và bảo mật y tế. Hãy dùng skill hipaa-compliance khi nhiệm vụ nói rõ về PHI, covered entities, BAA, trạng thái vi phạm dữ liệu, hoặc việc một quy trình có tạo ra rủi ro HIPAA hay không. Đây là một lớp bao mỏng, giúp phân loại nhanh và định hướng tuân thủ.

healthcare-phi-compliance giúp rà soát ứng dụng y tế để phát hiện rủi ro PHI/PII trong mô hình dữ liệu, API, log và các đường truy cập. Dùng skill này để kiểm tra phân loại dữ liệu, kiểm soát truy cập, mã hóa, nhật ký kiểm toán và các vector rò rỉ thường gặp cho nhu cầu audit an ninh theo HIPAA, DISHA, GDPR và các khung liên quan.

django-security là một hướng dẫn thực hành để tăng cường bảo mật cho các ứng dụng Django với xác thực, phân quyền, ngăn CSRF, XSS, SQL injection, cookie an toàn và thiết lập production. Skill này giúp lập trình viên và người rà soát thực hiện một Security Audit tập trung, nhanh chóng phát hiện cấu hình rủi ro và áp dụng các bản sửa cụ thể trước khi triển khai.

customs-trade-compliance là skill tuân thủ thương mại dành cho chứng từ hải quan, phân loại HS/HTS, lập kế hoạch thuế quan, sàng lọc bên bị hạn chế, và Compliance Review. Skill này giúp người dùng biến thông tin lô hàng thành các quyết định nhập/xuất khẩu có cơ sở, ít phải đoán mò hơn so với một prompt chung chung.

cso là kỹ năng kiểm tra bảo mật theo phong cách Chief Security Officer dành cho tác nhân. Kỹ năng này giúp rà soát codebase và workflow để phát hiện lộ bí mật, rủi ro về dependency và supply chain, bảo mật CI/CD, cũng như bảo mật LLM/AI bằng OWASP Top 10 và STRIDE. Hãy dùng cso cho các cuộc rà soát Security Audit có cấu trúc, với cổng tin cậy, xác minh chủ động và theo dõi xu hướng.

Skill accessibility-compliance giúp các nhóm rà soát và cải thiện UI web hoặc mobile theo WCAG 2.2 với hướng dẫn thực tiễn về ARIA, truy cập bằng bàn phím, screen reader và khả năng truy cập trên thiết bị di động. Phù hợp nhất cho audit UX, sửa lỗi component và các khuyến nghị sẵn sàng để triển khai.

security-requirement-extraction chuyển mô hình đe dọa và bối cảnh kinh doanh thành các yêu cầu bảo mật có thể kiểm thử, user story, tiêu chí chấp nhận và đầu ra sẵn sàng đưa vào backlog cho giai đoạn Requirements Planning.

Dùng skill pci-compliance để hỗ trợ rà soát kiến trúc theo PCI DSS, thu hẹp phạm vi đánh giá, phân tích khoảng trống và ra quyết định về xử lý dữ liệu thanh toán. Phù hợp nhất cho các nhóm thiết kế luồng thanh toán, chuẩn bị cho đợt đánh giá hoặc rà soát biện pháp kiểm soát trước kỳ kiểm tra tuân thủ.

k8s-security-policies giúp các nhóm soạn Kubernetes NetworkPolicy, nhãn Pod Security Standards và mẫu RBAC bằng template và tài liệu tham chiếu từ repo, phục vụ tăng cường bảo mật và lập kế hoạch triển khai sẵn sàng cho kiểm toán.

Skill gdpr-data-handling giúp các nhóm chuyển các yêu cầu GDPR thành hướng dẫn rà soát thực tế về sự đồng ý, cơ sở pháp lý, quyền của chủ thể dữ liệu, lưu giữ dữ liệu và các quyết định privacy-by-design.

wcag-audit-patterns là kỹ năng audit WCAG 2.2 có cấu trúc, dùng cho các đợt rà soát khả năng truy cập. Bạn có thể dùng nó để kết hợp kết quả từ công cụ tự động với kiểm tra thủ công, ưu tiên lỗi theo mức độ nghiêm trọng và mức độ tuân thủ, đồng thời tạo hướng dẫn khắc phục rõ ràng, có thể hành động cho trang, luồng và component.

agent-governance là một skill thiên về tài liệu, dùng để thiết kế guardrail cho AI agent, kiểm tra policy, quy tắc trust, giới hạn công cụ và audit logging cho các hệ thống dùng công cụ và multi-agent.

gws-modelarmor giúp bạn làm việc với Google Model Armor trong hệ sinh thái googleworkspace/cli. Dùng nó để làm sạch prompt, làm sạch phản hồi của model và tạo template với ít phải đoán mò hơn so với một prompt chung chung. Kỹ năng này được thiết kế cho các quy trình sử dụng lặp lại, có nhận biết chính sách và cho các luồng công việc Security Audit.

Skill security-and-hardening giúp gia cố mã ứng dụng trước khi phát hành. Hãy dùng cho dữ liệu đầu vào của người dùng, xác thực, phiên đăng nhập, dữ liệu nhạy cảm, tải tệp lên, webhook và các dịch vụ bên ngoài, với các kiểm tra cụ thể như xác thực đầu vào, truy vấn có tham số, mã hóa đầu ra, cookie an toàn, HTTPS và quản lý secrets.

Skill privacy-policy giúp soạn thảo bản nháp đầu tiên của chính sách quyền riêng tư cho sản phẩm hoặc dịch vụ, với các chi tiết rõ ràng về thu thập dữ liệu, phạm vi pháp lý theo khu vực và cờ cảnh báo để rà soát pháp lý. Hãy dùng khi ra mắt website, ứng dụng hoặc SaaS, cập nhật tài liệu, hoặc chuẩn bị bản privacy-policy để bộ phận Legal xem xét.

detecting-misconfigured-azure-storage là một skill kiểm tra an ninh để rà soát các tài khoản Azure Storage về truy cập blob công khai, mã hóa yếu, quy tắc mạng mở, cách dùng SAS không an toàn và thiếu logging. Skill này phù hợp cho các kiểm tra bảo mật cloud lặp lại trên nhiều subscription, với hướng dẫn dựa trên Azure CLI.

Skill configuring-hsm-for-key-storage giải thích cách lưu khóa dựa trên HSM với PKCS#11, SoftHSM2 và các lựa chọn HSM cho môi trường sản xuất. Hãy dùng hướng dẫn này cho cài đặt, sử dụng, thuộc tính khóa, thiết lập token, ký số, mã hóa và bằng chứng cho Security Audit.

Kỹ năng configuring-active-directory-tiered-model hỗ trợ thiết kế và kiểm tra phân tách tầng Active Directory theo kiểu Microsoft ESAE. Dùng hướng dẫn configuring-active-directory-tiered-model này để xem xét quyền truy cập Tier 0/1/2, PAW, ranh giới quản trị, phơi lộ thông tin xác thực và các phát hiện kiểm toán bảo mật trong ngữ cảnh triển khai rõ ràng hơn.

Skill codeql giúp bạn chạy CodeQL với ít điểm mù hơn trong quá trình kiểm toán bảo mật. Nó tập trung vào chất lượng cơ sở dữ liệu, lựa chọn bộ suite, data extensions và rà soát SARIF để bạn có thể dùng codeql một cách đáng tin cậy hơn trên các ngôn ngữ được hỗ trợ. Hãy dùng nó cho các bước hướng dẫn codeql lặp lại khi phân tích kho mã nguồn thực tế.