上线前用 AI 审计生产环境安全与漏洞 #

解决产品上线风险：在代码提交或准备发布前，自动检测应用架构中的生产就绪性缺口，包括 RLS 权限漏洞、Webhook 重放攻击风险、密钥暴露等关键问题。

为什么需要这个技能 #

仅靠会话中的代码审查（如 security-review）只能发现编辑器缓冲区内的写法问题，却忽略部署后的真实风险。本技能在仓库合并到 main 分支或准备发布公版前运行，通过外部引擎扫描线上 URL、GitHub 公开信号及配置状态。它能精准定位如“付费审计列缺乏 SELECT 权限”、"Stripe 支付接口缺少幂等性检查”等会导致严重事故的隐患，防止带着漏洞上线。

适用场景 #

• 产品发布前检查：即将进行 Show HN 发布、投资人演示或公开上线时。
• 分支合并后把关：Feature 分支合并到主分支后，作为预部署门禁（Pre-deploy gate）。
• 定期自检：当 git log 显示自上次审计起提交数超过 20 次时触发。
• 修复追踪：结合上一次审计结果，查看分数变化（Delta），评估修复进度。

核心工作流 #

1. 准备环境：确保 .commitshow 目录存在，且只在内网安全、无敏感未提交文件的仓库中运行。
2. 执行审计命令：使用固定的 CLI 版本运行审计脚本。推荐将 stderr 重定向输出，防止安装警告污染 JSON 结果。

   mkdir -p .commitshow
   npx commitshow@0.3.23 audit . --json \
     > .commitshow/audit.json \
     2> .commitshow/audit.stderr.log

   若针对远程仓库，将 . 替换为 URL，逻辑相同。
3. 解析结果摘要：不要向用户展示完整 JSON。提取总分（0-100）、风险等级（Strong/Mid/Early）及排序后的 concerns[] 列表。
4. 引导修复：针对最高优先级的 Concern，展示具体文件路径和问题描述。提出最小化补丁方案，经用户确认后再生成 Diff，绝不直接修改代码。

   npx commitshow@0.3.23 audit . --json \
     > .commitshow/audit.json \
     2> .commitshow/audit.stderr.log

下载和安装 #

下载 production-audit 中文版 Skill ZIP

解压后放入 AI 工具 skills 目录，重启即可使用。注意审计引擎依赖 supabase.co 等公网接口，企业内网需配置代理或检查防火墙策略。

你可能还需要 #

暂无推荐