Security Audit

# Security Audit Skill

## 何时使用

在部署之前或按计划运行安全审计，以识别 Clawdbot 配置中的漏洞。使用自动修复功能自动修复常见问题。

## 设置

无需外部依赖。尽可能使用原生系统工具。

## 操作指南

### 快速审计（常见问题）

```bash node skills/security-audit/scripts/audit.cjs ```

### 完整审计（全面扫描）

```bash node skills/security-audit/scripts/audit.cjs --full ```

### 自动修复常见问题

```bash node skills/security-audit/scripts/audit.cjs --fix ```

### 审计特定区域

```bash node skills/security-audit/scripts/audit.cjs --credentials # Check for exposed API keys node skills/security-audit/scripts/audit.cjs --ports # Scan for open ports node skills/security-audit/scripts/audit.cjs --configs # Validate configuration node skills/security-audit/scripts/audit.cjs --permissions # Check file permissions node skills/security-audit/scripts/audit.cjs --docker # Docker security checks ```

### 生成报告

```bash node skills/security-audit/scripts/audit.cjs --full --json > audit-report.json ```

## 输出

审计生成的报告包含以下内容：

| 级别 | 描述 | |-------|-------------| | 🔴 CRITICAL | 需要立即采取行动（例如凭据泄露） | | 🟠 HIGH | 重大风险，请尽快修复 | | 🟡 MEDIUM | 中等关注程度 | | 🟢 INFO | 仅供参考，无需操作 |

## 执行的检查项

### 凭据 - 环境文件中的 API 密钥 - 命令历史记录中的令牌 - 代码中硬编码的机密信息 - 弱密码模式

### 端口 - 意外开放的端口 - 暴露到互联网的服务 - 缺失的防火墙规则

### 配置 - 缺失的速率限制 - 已禁用的身份验证 - 默认凭据 - 开放的 CORS 策略

### 文件 - 任何用户可读的文件 - 任何用户可执行的文件 - 公共目录中的敏感文件

### Docker - 特权容器 - 缺失的资源限制 - 容器中的 Root 用户

## 自动修复

`--fix` 选项会自动执行以下操作： - 设置限制性文件权限（.env 文件设为 600） - 保护敏感配置文件 - 如果缺少 .gitignore 则创建一个 - 启用基本安全标头

## 相关技能

- `security-monitor` - 实时监控（单独提供）