Security — Bảo mật

Các công cụ quét và đánh giá bảo mật cho dự án.

Các lệnh bảo mật

LệnhMô tảMức độ
/qa-full securitySTRIDE + OWASP analysisToàn diện
/vulnerability-scanCVE scanning, dependency analysisToàn diện
/auditSecurity audit đa tầngToàn diện
ck:securitySTRIDE + OWASP (ClaudeKit)Toàn diện
npm auditDependency vulnerabilitiesNhanh

/qa-full security

Quét bảo mật theo tiêu chuẩn STRIDE và OWASP. 
/qa-full security
Kiểm tra:
  • Spoofing — Giả mạo danh tính
  • Tampering — Thay đổi dữ liệu trái phép
  • Repudiation — Từ chối hành động
  • Information Disclosure — Lộ thông tin
  • Denial of Service — Từ chối dịch vụ
  • Elevation of Privilege — Leo thang quyền

/vulnerability-scan

Quét sâu hơn, bao gồm CVE scanning và dependency analysis. 
/vulnerability-scan
Kiểm tra:
  • Known CVEs trong dependencies
  • Outdated packages có lỗ hổng
  • License compliance
  • Supply chain risks

/audit

Security audit toàn diện, nhiều phases. 
/audit

Security Checklist (mỗi feature)

Mỗi tính năng bắt buộc kiểm tra:
1

Input Validation

  • User input đã validate và sanitize?
  • SQL injection được bảo vệ (dùng ORM/parameterized queries)?
  • XSS prevention?
2

Authentication & Authorization

  • Kiểm tra authorization (không chỉ authentication)?
  • Role-based access control đúng?
  • JWT token validated?
3

Data Protection

  • Không có sensitive data trong logs?
  • Passwords hash bằng bcrypt/argon2?
  • API keys không expose trong frontend?
4

Infrastructure

  • CORS cấu hình đúng cho production?
  • HTTPS bắt buộc?
  • Rate limiting có?
5

Dependencies

npm audit --audit-level=high
Không có high/critical vulnerabilities.

Output mẫu

SECURITY SCAN REPORT
├── STRIDE Analysis:
│   ├── Spoofing:              LOW risk
│   ├── Tampering:             MEDIUM risk (missing CSRF token)
│   ├── Repudiation:           LOW risk
│   ├── Info Disclosure:       HIGH risk (API key in logs)
│   ├── DoS:                   LOW risk
│   └── Elevation:             LOW risk
├── Dependencies:
│   ├── High:    0
│   ├── Medium:  2
│   └── Low:     5
├── Secrets Found:             1 (API key in .env.local committed)
└── VERDICT: NEEDS ATTENTION — 1 HIGH risk issue
Nếu tìm thấy HIGH risk, phải fix trước khi deploy. Không được bỏ qua.