合规审查

skill-comply 是一款合规测试技能，用于在真实运行中检查 agent 是否遵循某个 skill、规则或 agent 定义。它会从 markdown 生成规范，运行三档 prompt 严格度，分类工具调用时间线，并基于证据输出合规率。适合用于 skill-comply 的合规审查。

使用 security-review 技能审查 auth、用户输入、secrets、API、支付、上传以及其他敏感流程。它提供一份实用的安全审查指南，包含清晰的通过/不通过检查、风险模式示例，以及一套聚焦的流程，帮助你在发布前发现常见问题。

quality-nonconformance 是一款面向受监管制造场景的技能，覆盖 NCR 受理、根因分析、CAPA、SPC 解释和最终处置。适用于合规审查、供应商质量问题，以及需要可追溯性、风险判断和审计可用结论的证据驱动决策。

perl-security 可帮助你审查 Perl 代码中的更安全输入处理、taint mode、shell 执行、DBI 占位符，以及 XSS、SQLi、CSRF 等 Web 安全问题。在进行安全审计、修复规划和安全开发时，当用户可控数据会流向敏感 sink，就适合使用这个 perl-security skill。

laravel-security 技能是一份实用的 Laravel 安全检查清单，覆盖 authn/authz、验证、CSRF、mass assignment、文件上传、密钥、速率限制和安全部署。适合用于 Laravel 应用的审计、功能评审和加固工作。

hipaa-compliance 是面向医疗隐私与安全工作的 HIPAA 专用入口。当任务明确涉及 PHI、受覆盖实体、BAA、泄露风险态势，或某个工作流是否会带来 HIPAA 暴露时，就使用 hipaa-compliance 技能。它是一个轻量覆盖层，适合快速合规分诊与指导。

healthcare-phi-compliance 可帮助审查医疗健康应用在数据模型、API、日志和访问路径中的 PHI/PII 风险。可用于检查数据分类、访问控制、加密、审计轨迹，以及与 HIPAA、DISHA、GDPR 和相关安全审计需求有关的常见泄露向量。

django-security 是一份面向 Django 应用加固的实用指南，涵盖认证、授权、CSRF、XSS、SQL 注入防护、安全 Cookie 和生产环境设置。它帮助开发者和审查者开展聚焦的 Security Audit，快速识别高风险配置，并在部署前落实具体修复。

customs-trade-compliance 是一项面向海关单证、HS/HTS 归类、关税规划、受限方筛查和 Compliance Review 的贸易合规技能。它能帮助用户把货运事实转化为更有依据的进出口决策，比通用提示词更少依赖猜测。

cso 是一款面向代理的 Chief Security Officer 风格安全审计技能。它可帮助审查代码库和工作流中的密钥泄露、依赖与供应链风险、CI/CD 安全，以及基于 OWASP Top 10 和 STRIDE 的 LLM/AI 安全问题。适合用 cso 做结构化的 Security Audit 评审，支持置信门控、主动验证和趋势追踪。

accessibility-compliance 技能可帮助团队依据实用的 WCAG 2.2、ARIA、键盘可访问性、屏幕阅读器和移动端无障碍指导，对 Web 或移动 UI 进行审计与改进。适合用于 UX 审计、组件修复以及可直接落地的整改建议。

security-requirement-extraction 可将威胁模型和业务背景转化为可测试的安全需求、用户故事、验收标准以及适用于 Requirements Planning 的待办项输出。

使用 pci-compliance skill 辅助 PCI DSS 架构审查、范围缩减、差距分析，以及支付数据处理决策。适合设计支付流程、准备合规评估，或在正式合规审查前复核控制措施的团队。

k8s-security-policies 可帮助团队基于仓库中的模板与参考资料，起草 Kubernetes NetworkPolicy、Pod Security Standards 标签以及 RBAC 模式，用于安全加固与面向审计的上线规划。

gdpr-data-handling 可帮助团队把 GDPR 要求转化为可落地的审查指引，用于处理同意管理、合法依据、数据主体权利、保留期限以及 privacy-by-design 等决策。

wcag-audit-patterns 是一套面向无障碍评审的结构化 WCAG 2.2 审核技能。可用于结合自动化检测结果与人工检查，按严重程度和符合性级别对问题排序，并为页面、流程和组件生成可落地的修复建议。

agent-governance 是一项以文档为核心的技能，用于为会调用工具的 AI agent 和多智能体系统设计护栏、策略校验、信任规则、工具限制与审计日志。

gws-modelarmor 帮助你在 googleworkspace/cli 生态中使用 Google Model Armor。它可用于净化提示词、净化模型响应，并以比通用 prompt 更少的猜测来创建模板。该技能面向可重复、符合策略要求的使用场景，以及 Security Audit 工作流。

security-and-hardening 技能用于在发布前加固应用代码。适用于用户输入、认证、会话、敏感数据、文件上传、webhook 和外部服务等场景，涵盖输入校验、参数化查询、输出编码、安全 Cookie、HTTPS 以及 secrets 处理等具体检查项。

privacy-policy 技能可帮助为产品或服务起草第一版隐私政策，清晰涵盖数据收集细节、适用司法辖区范围以及法律审核提示。适用于网站、App 或 SaaS 上线时，更新文档时，或在提交给 Legal 审核前准备隐私政策时使用。

detecting-misconfigured-azure-storage 是一款安全审计技能，用于检查 Azure Storage 账户是否存在 Blob 公共访问、加密薄弱、网络规则开放、SAS 使用不安全以及日志缺失等问题。它适合在多个订阅中进行可重复的云安全检查，并提供基于 Azure CLI 的操作指引。

configuring-hsm-for-key-storage 技能介绍了基于 HSM 的密钥存储，涵盖 PKCS#11、SoftHSM2 和生产级 HSM 方案。本指南适用于安装、使用、密钥属性、token 配置、签名、加密以及 Security Audit 证据收集。

configuring-active-directory-tiered-model 技能可帮助设计和审计 Microsoft ESAE 风格的 Active Directory 分层模型。使用这份 configuring-active-directory-tiered-model 指南，可更清晰地审视 Tier 0/1/2 访问、PAW、管理员边界、凭据暴露以及安全审计发现，并结合实际实现语境进行判断。

codeql 技能可帮助你在安全审计中更少遗漏地运行 CodeQL。它重点关注数据库质量、suite 选择、数据扩展和 SARIF 审查，让你在受支持的语言中更可靠地使用 codeql。适合在分析真实仓库时执行可重复的 codeql 指南步骤。