Skill

实现密钥管理系统的自动化接入与配置，支持 HashiCorp Vault 和 AWS Secrets Manager 等主流方案，生成符合最小权限原则的策略、角色及部署代码，并提供安全存储、访问控制和轮换建议，适用于 DevOps 环境中敏感凭证的全生命周期管理。

用于验证 YAML 前置元数据的解析功能，确保技能名称正确扁平化，并准确提取和报告配置中定义的触发关键词。

通过自动注入代码变异并运行测试来评估测试套件的检出能力，计算变异得分并识别未被发现的变异体，帮助定位测试盲区、验证测试有效性，并指导针对性增强测试用例。

实现企业级角色权限管理，通过定义细粒度角色与权限控制对 AI 代理、自动化流程及系统设置的访问，支持团队协作、操作审计与安全合规，适用于多用户环境下的权限隔离与分级管控。

自动检测和配置静态数据加密方案，通过分析系统配置与安全策略实现合规性验证，支持渗透测试与企业级安全框架的集成，适用于 SOC2、GDPR 等标准下的安全加固场景。

统筹多维度代码审查，覆盖安全风险、性能瓶颈、代码质量与测试完备性四大领域，自动识别漏洞、低效实现、可维护性缺陷及测试缺口，按严重程度与置信度分级评估，并生成带定位信息和修复建议的结构化反馈，支持团队协同决策与持续改进。

通过模式识别与熵值分析技术扫描代码库，精准定位潜在的敏感信息泄露风险，如 API 密钥、密码及私钥等，帮助在代码提交或部署前及时发现并处理安全隐患，适用于安全审计与开发阶段的前置防护。

自动识别 VChart 项目中代码变更，为新增或修改的导出项生成 Jest 单元测试与快照，执行测试并分析覆盖率变化，最终输出结构化报告，支持基于基准分支的增量验证与质量保障。

提供对 API 接口的完整测试能力，涵盖 JSON:API 格式处理、跨租户数据隔离验证、基于角色的权限控制检查、软删除状态管理以及异步任务执行确认，确保系统在多租户环境下的安全性与合规性。

提供 GitHub Actions 工作流的安全验证能力，重点保障 Google Cloud 和 Vertex AI 部署中 Workload Identity Federation 的正确实施，检查 OIDC 权限配置、IAM 最小权限策略及敏感凭证使用，支持自动化审计与加固建议。

提供 PostgreSQL 数据库模式变更的全流程验证能力，覆盖结构差异比对、迁移计划生成、模式导出及端到端迁移执行，支持基于测试用例的快速逻辑验证、嵌入式数据库集成测试、多版本 PostgreSQL 兼容性检查，并允许按类别或路径精准筛选、再生预期输出及调试失败用例。

提供实施与规格文档的逐项比对能力，覆盖接口契约、数据结构、业务逻辑、架构决策及质量要求的验证，自动识别偏差并按严重程度分级，生成结构化合规报告，确保开发过程严格遵循 PRD、SDD 和实施计划。

自动执行 SOC2 合规性检查任务，涵盖合规框架解析、安全控制验证、配置审计与整改建议生成，支持结合本地文件读写、命令行操作及文本模式匹配完成端到端合规评估。

对 TypeScript 和 JavaScript 代码变更进行自动化审查，识别编码规范偏差、风格问题及质量缺陷，覆盖类型安全、JSDoc 规范性、React 最佳实践等维度，适用于 Pull Request 或代码差异场景。

在 OpenAI Agents JS 单体仓库中，当修改涉及运行时代码、测试或构建测试行为时，自动执行完整的质量验证流程，包括依赖安装、构建、代码检查、类型校验、声明文件验证及全量测试，确保所有环节通过后才视为变更完成。

面向新项目快速理解的自动化分析能力，覆盖代码结构梳理、技术栈识别、架构模式判定、开发流程还原及规范约定提取，适用于工程师接手陌生项目、技术尽调或解答系统原理类问题。

自动完成性能测试中的峰值负载场景搭建，支持从方案设计到可执行配置的生成与验证，适用于高并发压测、系统瓶颈分析及性能基线 benchmarking 场景。

自动化执行端到端集成测试流程，涵盖测试环境初始化、数据库创建与数据填充、依赖服务编排、多套测试用例并行运行、覆盖率分析及执行后资源清理，确保组件间交互验证的可靠性与可重复性。

面向业务价值与用户可感知结果的端到端及集成测试设计能力，通过行为驱动骨架、ROI量化评估、属性验证与可观测性校验，确保测试覆盖核心功能、数据一致性和关键错误路径，同时严格约束 mock 边界与执行条件。

在提交拉取请求前执行全流程质量验证，涵盖代码格式与测试、调试痕迹扫描、设计原则与系统不变量对齐审查、RFC 合规性判断，以及文档同步性检查，最终生成结构化就绪报告并明确是否具备合并条件。

提供 Python代码日志规范性检查能力，自动识别错误的日志级别使用、缺失异常上下文、未命名 logger、混用 print、以及敏感信息泄露等问题，支持基于语义场景的 severity 级别校验与修复建议。

对系统认证机制开展深度安全审查，覆盖 JWT、OAuth、会话凭证及 API 密钥等主流方案，识别密码策略缺陷、会话管理漏洞、令牌配置风险与多因素认证缺失等问题，并依据行业标准提供可落地的加固建议。

通过先编写测试用例并验证其失败，再实现最小化代码使其通过，确保所有功能均被有效验证。该方法强制暴露缺陷、防止过度设计，并以自动化方式持续保障代码质量与行为一致性。

提供面向行为的测试方法论，强调通过公共接口验证业务逻辑而非实现细节，利用工厂函数生成符合真实数据规范的测试用例，并系统性规避虚假覆盖率陷阱，确保测试能准确反映系统实际行为并支持安全重构。

提供 Exa 平台密钥与访问权限的安全管理能力，涵盖 API 密钥的环境变量隔离、定期轮换、按环境最小化授权范围、Webhook 签名验证及操作审计日志记录，支撑合规性检查与风险防控。

自动执行 HTTP 响应头安全审查，识别缺失或配置不当的安全头字段，提供符合 OWASP 和行业标准的修复建议与可部署配置，支撑 Web 应用基础防护能力建设。

通过模式匹配与熵值分析技术，实现对代码库中敏感信息的深度检测，可精准识别各类 API 密钥、密码及私钥等凭证泄露风险，适用于版本提交前的安全审查与生产部署前的自动化排查场景。

快速执行部署后的冒烟测试，验证核心功能是否正常，支持环境准备、测试运行、结果分析与报告生成全流程，适用于需要即时反馈系统关键路径稳定性的质量保障场景。

实现对 Windsurf 平台事件通知的安全接收与处理，通过签名验证确保请求来源真实，结合时间戳校验防止重放攻击，并支持基于事件类型的分发处理与幂等性控制，适用于构建可靠的异步消息响应系统。

支持以结构化方式开展探索式测试，通过会话制管理明确目标与时限，结合质量维度启发式框架和一致性校验准则识别潜在缺陷，运用多样化探索路径深入系统不同区域，并实时记录发现、协同分析风险，适用于新功能验证、未知缺陷挖掘及复杂系统质量评估场景。