合规審查

skill-comply 是一個用於合規測試的 skill，會在實際執行中檢查 agent 是否遵循某個 skill、規則或 agent definition。它會從 markdown 產生規格、以三種不同嚴格度的 prompt 執行測試、分類 tool-call 時序，並以證據回報合規率。適合用來做 skill-comply 的 Compliance Review。

使用 security-review 技能來檢視 auth、使用者輸入、secrets、API、payments、uploads，以及其他敏感流程。它提供實用的安全檢視指南，包含清楚的通過／失敗檢查、風險模式範例，以及聚焦的流程，幫助在發布前找出常見問題。

quality-nonconformance 是一項適用於受管制製造業的技能，涵蓋 NCR 收件、根因分析、CAPA、SPC 解讀與最終處置。適合用於 Compliance Review、供應商品質問題，以及需要可追溯性、風險判斷與可供稽核的決策場景。

perl-security 可協助你檢視 Perl 程式碼中的較安全輸入處理、taint mode、shell 執行、DBI 佔位符，以及 XSS、SQLi、CSRF 等網頁安全問題。當使用者可控資料會流向敏感 sink 時，可在安全稽核、修補規劃與安全開發中使用這個 perl-security 技能。

laravel-security 技能是一份實用的 Laravel 資安檢查清單，涵蓋 authn/authz、驗證、CSRF、mass assignment、檔案上傳、密鑰、rate limiting 與安全部署。適合用於 Laravel 應用的稽核、功能審查與強化作業。

hipaa-compliance 是處理醫療隱私與資安工作的 HIPAA 專用入口。當任務明確涉及 PHI、受涵蓋實體、BAA、事件外洩風險，或某個工作流程是否會產生 HIPAA 暴露時，請使用 hipaa-compliance skill。它是一個輕量的導流層，可用於快速合規分流與指引。

healthcare-phi-compliance 可協助檢視醫療應用在資料模型、API、log 與存取路徑中的 PHI/PII 風險。可用來檢查資料分類、存取控制、加密、稽核軌跡，以及符合 HIPAA、DISHA、GDPR 與相關安全稽核需求的常見洩漏向量。

django-security 是一份實用指南，協助你透過認證、授權、CSRF、XSS、SQL injection 防護、安全 cookie 與 production settings 來強化 Django apps。它能幫助開發者與審查者執行聚焦的 Security Audit，快速找出高風險設定，並在部署前套用具體修正。

customs-trade-compliance 是一項貿易合規技能，適用於報關文件、HS/HTS 分類、關稅規劃、受限對象篩查，以及 Compliance Review。它能幫助使用者把出貨事實轉化為有理有據的進出口決策，減少使用通用提示詞時常見的猜測成分。

cso 是一款給代理使用、偏向 Chief Security Officer 風格的安全稽核技能。它可協助檢視程式碼庫與工作流程中的機密外洩、相依套件與供應鏈風險、CI/CD 安全，以及 LLM/AI 安全，並採用 OWASP Top 10 與 STRIDE。適合用 cso 來進行結構化的 Security Audit 檢視，搭配信心門檻、主動驗證與趨勢追蹤。

accessibility-compliance 技能可協助團隊依據實務可行的 WCAG 2.2、ARIA、鍵盤操作、螢幕閱讀器與行動裝置無障礙指引，稽核並改善網站或行動應用程式的 UI。特別適合用於 UX 稽核、元件修正，以及可直接落地的實作建議。

security-requirement-extraction 可將威脅模型與業務情境轉化為可驗證的安全需求、使用者故事、驗收標準，以及可直接納入需求規劃待辦的產出。

使用 pci-compliance skill 協助進行 PCI DSS 架構審查、範圍縮減、缺口分析，以及支付資料處理決策。特別適合設計支付流程、準備稽核評估，或在正式合規審查前先檢視控制措施的團隊。

k8s-security-policies 可協助團隊運用以 repo 為基礎的範本與參考資料，撰寫 Kubernetes NetworkPolicy、Pod Security Standards 標籤與 RBAC 模式，用於強化防護與規劃可支援稽核的部署流程。

gdpr-data-handling 技能可協助團隊把 GDPR 要求轉化為實務上的審查指引，涵蓋同意管理、合法依據判定、資料當事人權利、資料保存期限，以及隱私保護設計相關決策。

wcag-audit-patterns 是一套結構化的 WCAG 2.2 無障礙稽核 skill，適合用於 accessibility review。你可以用它整合自動化偵測結果與人工檢查，依嚴重程度與符合等級排定問題優先順序，並為頁面、流程與元件產出可執行的修正建議。

agent-governance 是一個以文件為核心的技能，適合用來設計 AI agent 的防護欄、政策檢查、信任規則、工具限制，以及供工具使用型與多代理系統採用的稽核記錄機制。

gws-modelarmor 可協助你在 googleworkspace/cli 生態系中使用 Google Model Armor。可用來清理 prompts、清理模型回應，並建立比通用 prompt 更少猜測的 templates。它適合重複執行、符合政策意識的使用情境，以及 Security Audit 工作流程。

security-and-hardening 技能可在發布前協助強化應用程式程式碼。適用於使用者輸入、驗證、session、敏感資料、檔案上傳、webhook 與外部服務等情境，並搭配具體檢查項目，例如輸入驗證、參數化查詢、輸出編碼、安全 Cookie、HTTPS 與 secrets 管理。

privacy-policy 技能可協助先起草產品或服務的隱私權政策初稿，內容涵蓋清楚的資料蒐集細節、適用法域範圍，以及法律審查提示。適合在網站、App 或 SaaS 上線時使用，也可用於更新文件，或在送交法務審閱前先準備隱私權政策草稿。

detecting-misconfigured-azure-storage 是一項安全稽核技能，用於檢查 Azure Storage 帳戶是否存在公開 blob 存取、加密不足、網路規則過度開放、不安全的 SAS 使用，以及缺少記錄等問題。它很適合在多個訂用帳戶之間，以 Azure CLI 為基礎的指引，進行可重複的雲端安全檢查。

configuring-hsm-for-key-storage 技能說明如何透過 PKCS#11、SoftHSM2 與正式環境 HSM 選項來進行 HSM 支援的金鑰儲存。可用於安裝、使用、金鑰屬性、Token 設定、簽章、加密，以及 Security Audit 證據整理。

configuring-active-directory-tiered-model 技能可協助設計與稽核 Microsoft ESAE 風格的 Active Directory 分層模型。使用這份 configuring-active-directory-tiered-model 指南，可更清楚地檢視 Tier 0/1/2 存取、PAWs、管理邊界、憑證暴露，以及資安稽核發現與實作情境的對應關係。

codeql 技能可協助你在安全稽核中以更少的盲點來執行 CodeQL。它聚焦於資料庫品質、套件選擇、資料擴充與 SARIF 檢視，讓你能在受支援的語言中更可靠地使用 codeql。當你要分析真實 repo 時，可用它來重複執行 codeql 指南式步驟。