09
Security · workflow
security-audit-workflow
09-security-audit-workflow.md
◉
WHAT IS THIS
定位安全审计 workflow。目标是输出可攻击路径、可复现证据和可修复 patch,而不是泛泛列 OWASP 清单。
⚡
TRIGGERS
触发场景▸改动涉及 auth、permission、public endpoint、file system、sandbox、webhook、external API。
▸本地 executor、agent tool、MCP server、Cloudflare Worker 暴露新能力。
▸上线前需要安全 gate。
▸Review 中出现 path traversal、SSRF、secret leak、authorization bypass 风险。
↹
INPUT & OUTPUT
输入 / 产出↘ INPUT
- Routes、middleware、auth policy。
- Data model 和权限边界。
- File system 或 network access 代码。
- Env vars 和 secret handling。
- 部署拓扑。
↗ OUTPUT
- 攻击面地图。
- Findings,包含攻击路径、影响、复现、修复。
- Regression tests 或安全断言。
- Go/No-Go 建议。
🪜
STEPS
编排步骤- 1建攻击面列入口:HTTP route、CLI command、agent tool、webhook、background job、file read/write。
- 2标权限边界标 user、tenant、workspace、local file、remote API、secret 的边界。
- 3OWASP lens 审计对 input validation、authn/authz、injection、SSRF、path traversal、XSS、CSRF、secret exposure、rate limit 逐项看。
- 4构造攻击路径每个 finding 必须从 attacker capability 开始,到 impact 结束。
- 5写 regression能写测试的先写测试,尤其是 path traversal、tenant isolation、forbidden status。
- 6最小修复修边界和 guard,不顺手重构业务。
- 7二次验证重新跑攻击样例,确认失败方式正确。
⚙
AGENT ROLES
Agent 分工⚙
Attack Surface Agent
列入口。
⚙
Authz Agent
查权限绕过。
⚙
Input Agent
查注入和路径问题。
⚙
Secret Agent
查 env、log、error leak。
⚙
Verifier Agent
复现攻击路径。
✓
ACCEPTANCE GATE
验收 gate- ✓每个 finding 有攻击者能力、入口、payload、impact。
- ✓每个 P0/P1 finding 有 regression test 或可执行复现。
- ✓修复后 forbidden、validation error、audit log 行为明确。
- ✓没有 secret 出现在日志、错误、测试 fixture。
- ✓高风险残余问题明确 Go/No-Go。
⊘
FAILURE HANDLING
失败处理不能复现的 finding 标 risk,不标 vulnerability。
需要产品决策的权限边界,先写 ADR 或 security note。
不确定外部依赖安全行为时,查官方文档或保守加 guard。
⌘
TEMPLATE
finding 模板### [Severity] Title
- Attacker capability:
- Entry point:
- Payload:
- Impact:
- Evidence:
- Fix:
- Regression: