Skill pour l'audit de securite du projet SaaS-IA. TRIGGER quand: l'utilisateur mentionne "securite", "audit", "vulnerabilite", "OWASP", ou lors de review de code sensible (authentification, paiement Stripe, gestion de secrets). Ce skill opere en mode READ-ONLY.
Ce skill analyse le code sans le modifier. Il produit un rapport avec des recommandations.
Depends(get_current_user).envSECRET_KEY)eval(), exec(), ou os.system() avec des entrees utilisateurCORS_ORIGINS dans settings)STRIPE_WEBHOOK_SECRET)security_guardian.service.SecurityGuardianService.scan_pii()security_guardian.service.SecurityGuardianService.check_injection()mvp/backend/app/auth.py - Authentification JWTmvp/backend/app/config.py - Configuration et secretsmvp/backend/app/modules/billing/ - Integration Stripemvp/backend/app/modules/api_keys/ - Gestion des cles APImvp/backend/app/rate_limit.py - Rate limitingmvp/backend/app/modules/security_guardian/ - PII + injection + auditmvp/backend/app/middleware/ - Middleware securite## Rapport de Securite - [date]
### Critique (action immediate)
- [description + fichier:ligne + recommandation]
### Haute (a corriger rapidement)
- [description + fichier:ligne + recommandation]
### Moyenne (a planifier)
- [description + fichier:ligne + recommandation]
### Basse (ameliorations)
- [description + fichier:ligne + recommandation]
cd mvp/backend && pip audit # Vulnerabilites Python
cd mvp/frontend && npm audit # Vulnerabilites Node
ruff check app/ --select S # Regles de securite Ruff (bandit)