security-scanning-security-hardening

多层安全扫描与加固

技能概述

通过多代理协同的纵深防御策略，实现应用、基础设施和合规控制的全面安全扫描与加固。

适用场景

1. 全面安全加固计划

当您需要建立纵深防御体系时，此技能协调多个专业代理执行 SAST/DAST 代码扫描、依赖审计、密钥检测和威胁建模，从应用层到基础设施层建立完整的安全防护网。

2. DevSecOps 流程集成

将安全扫描无缝集成到 CI/CD 流程中，实现代码提交时的自动安全检查，支持 OWASP ASVS、CIS 基准、SOC2 等合规框架验证，让安全左移成为可能。

3. 漏洞应急响应与修复

针对扫描发现的高危漏洞（CVSS 7+），协调专业安全代理快速实施修复，包括 SQL 注入、XSS、认证绕过等常见攻击面的防御措施，并提供回归测试要求。

核心功能

1. 四阶段安全工作流

执行完整的安全评估流程：第一阶段建立基线（漏洞扫描、威胁建模、架构审查），第二阶段修复高危问题，第三阶段实施安全控制（认证授权、基础设施防护、密钥管理），第四阶段验证合规性并部署安全监控。

2. 多维度安全扫描

集成 SAST（Semgrep/SonarQube）、DAST（OWASP ZAP）、依赖审计（Snyk/Trivy）、密钥检测（GitLeaks/TruffleHog）等工具，生成软件物料清单（SBOM），识别 OWASP Top 10、CWE 弱点和 CVE 暴露。

3. 零信任架构落地

基于威胁建模结果，设计零信任安全模式，包括服务边界加固、数据流安全、OAuth2/OIDC 认证、MFA 多因素认证、RBAC/ABAC 权限控制，以及 WAF、IDS/IPS、网络微分段等基础设施防护。

常见问题

安全扫描需要多长时间完成？

扫描时间取决于 scanning_depth 配置和代码规模。快速扫描可在 30 分钟内完成，标准扫描约 1-2 小时，全面扫描可能需要半天以上。建议先从标准模式开始，根据结果调整扫描深度。

生产环境能进行安全加固吗？

不建议直接在生产环境进行安全加固。此技能包含的漏洞修复、配置变更和架构调整可能影响业务稳定性。应先在预生产环境完成验证，制定回滚计划，并获得变更批准后再部署到生产环境。

渗透测试和自动化扫描有什么区别？

自动化扫描使用工具快速识别已知漏洞模式，适合日常安全检查；渗透测试由安全专家模拟真实攻击，发现业务逻辑漏洞和复杂攻击链。本技能的第四阶段会执行渗透测试来验证前三阶段的安全控制效果。