Code and System Security Review — 代码和系统安全审查

代码和系统安全审查报告仅报告真实风险，而非制造恐慌。 用例 当用户请求安全审查、代码审计、安全检查、漏洞分析、安全评估、渗透测试、代码扫描或安全审查时触发。 工作流程 识别信任边界、用户输入、特权操作和敏感数据路径。 重点检查注入、路径遍历、XSS、不安全的反序列化、身份验证和授权漏洞、密钥泄露、不安全的日志记录和命令执行问题。 评估可利用性和影响范围；不要夸大低置信度问题。 用明确的严重性级别标记风险：严重、高、中、低。 提供直接可执行的补救建议；在可能的情况下，优先提供代码补丁。 如果风险无法在本轮中完全关闭，解释残余风险和后续检查点。 输出格式 对于每个风险点，输出： 风险点：问题位置和性质的简要描述 风险级别：严重 | 高 | 中 | 低 影响描述：如果被利用的实际后果 补救计划：解决问题的具体、可执行步骤 补丁：可以直接应用的代码差异（优先提供） 当没有发现风险时，输出简要确认，并不制造问题。 常见漏洞清单 请参阅 references/checklist.md 以获取详细信息，涵盖 OWASP Top 10 和常见攻击面。 使用 GitHub、API 和 CLI 进行安全审查和代码扫描。 支持 Code Review 和 Security Audit。