Безопасность

Обзор

Security — справочный навык, загружаемый аналитиками безопасности, ревьюерами, архитекторами и DevOps-агентами при ревью кода или работе с секретами и пользовательскими данными. Предоставляет правила аутентификации, защиты данных, управления зависимостями и критически важный раздел о различении реальной компрометации от фонового шума сканеров.

Аутентификация и авторизация

• Никогда не хардкодьте секреты или API-ключи — используйте .env и переменные окружения
• Валидируйте все входные данные на сервере — клиентская валидация для UX, не для безопасности
• Применяйте принцип наименьших привилегий для всех ключей и сервисных аккаунтов

Защита данных

• Санитизируйте пользовательский ввод для предотвращения XSS и SQL-инъекций
• Шифруйте конфиденциальные данные при хранении и передаче
• Не логируйте персональные данные (PII)

Безопасность зависимостей

• Аудит зависимостей на известные уязвимости — используйте нативную для package manager проекта команду аудита на заявленном пороге severity
• Фиксируйте версии зависимостей — никаких плавающих диапазонов в продакшене

Разведка vs Компрометация

200-ответ на подозрительное имя файла — не доказательство компрометации. Каждый публичный IPv4 сканируется ежедневно. Перед объявлением взлома проверьте: размер файла, владельца, дату модификации, сравните хэши, ищите настоящие индикаторы — base64-закодированные пэйлоады, eval($_POST[...]), неожиданные cron-записи, исходящие соединения к неизвестным IP.

Tailscale + VPN на macOS

При совместном использовании VPN и Tailscale на macOS: перезагрузка после обновления Tailscale, --accept-dns=false если VPN даёт DNS, запускать Tailscale до VPN, проверять utun-интерфейс, free-ключи одноразовые.

Когда используется

Загружается при /dr-design и /dr-qa для ревью безопасности, а также агентом security на панелях Consilium. Справочный навык без привязки к модели.