AgentSkillsCN

specialist-seguranca-informacao

专注于现代系统安全防护,精通 OWASP、LGPD 以及威胁建模相关技术。

SKILL.md
--- frontmatter
name: specialist-seguranca-informacao
description: Especialista em segurança OWASP, LGPD e threat modeling para sistemas modernos.
allowed-tools: Read, Write, Edit, Glob, Grep
version: 2.0
framework: progressive-disclosure
architecture: mcp-centric

🔒 Especialista em Segurança da Informação

🎯 Missão

Garantir segurança ponta a ponta cobrindo OWASP Top 10, criptografia e compliance regulatório usando templates estruturados e validação automática.

📋 Contexto de Uso

  • Fase: Fase 7 · Segurança
  • Workflows recomendados: /corrigir-bug, /refatorar-codigo, /deploy
  • Momento ideal: Antes de testes, deploy e durante revisões críticas

🔄 Processo Otimizado

1. Inicialização Estruturada

Use função initialize_security_structure() para criar estrutura base com template padrão.

2. Discovery Rápido (15 min)

Faça perguntas focadas:

  1. Qual tipo de dados sensíveis o sistema manipula?
  2. Qual compliance regulatório é aplicável?
  3. Qual stack tecnológica está sendo usada?
  4. Quais são os principais vetores de ataque?

3. Geração com Template

Use template estruturado: resources/templates/checklist-seguranca.md

4. Validação de Qualidade

Aplique validação automática de completude e consistência.

5. Processamento para Próxima Fase

Prepare contexto estruturado para Análise de Testes.

📥 Inputs Obrigatórios

  • docs/06-arquitetura/arquitetura.md - Arquitetura completa
  • docs/02-requisitos/requisitos.md - Requisitos não-funcionais
  • CONTEXTO.md - Contexto do projeto
  • Fluxos de dados sensíveis (se aplicável)

📤 Outputs Gerados

  • docs/06-seguranca/checklist-seguranca.md - Checklist completo
  • docs/06-seguranca/threat-model.md - Threat model e recomendações
  • docs/06-seguranca/compliance-plan.md - Plano de conformidade
  • docs/06-seguranca/supply-chain.md - Estratégia de supply chain security

✅ Quality Gate

  • Score mínimo: 85 pontos para aprovação automática
  • OWASP Top 10: 100% revisado e mitigado
  • Autenticação/Autorização: 100% definida
  • Dados Sensíveis: 100% mapeados e protegidos
  • Compliance: 100% identificado (LGPD, PCI-DSS, etc.)
  • Supply Chain: 100% implementada
  • Logging: 100% planejado

📂 Estrutura de Recursos

Templates Disponíveis

  • checklist-seguranca.md - Template principal de checklist
  • threat-modeling.md - Template para threat modeling
  • slo-sli.md - Template para SLO/SLI de segurança

Exemplos Práticos

  • examples/security-examples.md - Input/output pairs reais

Checklists de Validação

  • checklists/security-validation.md - Critérios de qualidade

Guias Técnicos

  • reference/security-guide.md - Guia completo de segurança

🔧 Funções MCP Disponíveis

Inicialização

python
async def initialize_security_structure(params):
    """Cria estrutura base de segurança com template padrão"""
    # Implementação MCP externa

Validação

python
async def validate_security_quality(params):
    """Valida qualidade do checklist de segurança"""
    # Implementação MCP externa

Processamento

python
async def process_security_to_next_phase(params):
    """Processa artefatos para próxima fase"""
    # Implementação MCP externa

🚀 Context Flow Automatizado

Ao Concluir (Score ≥ 85)

  1. Checklist validado automaticamente
  2. CONTEXTO.md atualizado com considerações de segurança
  3. Prompt gerado para Análise de Testes
  4. Transição automática para Fase 8

Guardrails Críticos

  • NUNCA avance sem validação ≥ 85 pontos
  • SEMPRE confirme com usuário antes de processar
  • USE funções descritivas para automação via MCP

📊 Métricas de Performance

  • Tempo total: 40 minutos (vs 45 anterior)
  • Discovery: 15 minutos
  • Geração: 20 minutos
  • Validação: 5 minutos
  • Redução tokens: 80% com progressive disclosure

🔗 Skills Complementares

  • vulnerability-scanner - Scanner de vulnerabilidades
  • red-team-tactics - Táticas de Red Team
  • security - Segurança geral

📚 Referências Essenciais

  • Especialista original: content/specialists/Especialista em Segurança da Informação.md
  • Templates: resources/templates/
  • Exemplos: resources/examples/
  • Validação: resources/checklists/
  • Guia: resources/reference/security-guide.md

OWASP Top 10 (2025 Edition)

#VulnerabilidadeMitigação Obrigatória
1Broken Access ControlRBAC em TODA request, validar autorização
2Cryptographic FailuresTLS 1.3+, bcrypt/Argon2, AES-256
3InjectionORMs, prepared statements, input validation
4Insecure DesignThreat modeling, secure-by-default
5Security MisconfigurationHardened servers, remove defaults
6Vulnerable ComponentsScan dependencies, SBOM, auto-updates
7ID & Auth FailuresMFA, password policies, rate limiting
8Software & Data IntegrityCode signing, verify packages
9Logging & MonitoringCentralized logs, alerts, SIEM
10SSRFWhitelist URLs, network segmentation

Supply Chain Security (CRÍTICO)

Scan de Dependências Obrigatório

bash
# Node.js
npm audit && npm audit fix

# Python
pip-audit && safety check

# PHP
composer audit

# Go
govulncheck ./...

SBOM e Verificação

bash
# Gerar SBOM
syft dir:. -o spdx-json > sbom.json

# Scan por vulnerabilidades
grype sbom:./sbom.json

# Install seguro
npm ci --ignore-scripts
npm audit signatures

Checklist Supply Chain

  • Lock files committed
  • Scan semanal de dependências
  • Zero vulnerabilidades HIGH/CRITICAL
  • Scripts de instalação revisados
  • Private registry para deps críticas
  • SBOM gerado e versionado

Pilares da Segurança

1. Confidencialidade

  • Criptografia em trânsito (TLS 1.3+)
  • Criptografia em repouso (AES-256)
  • Controle de acesso granular
  • Masking de dados sensíveis

2. Integridade

  • Code signing para releases
  • Immutability para logs
  • Checksums para arquivos
  • Blockchain para auditoria (se aplicável)

3. Disponibilidade

  • Rate limiting e DDoS protection
  • Backup e disaster recovery
  • Health checks e monitoring
  • CDN para conteúdo estático

4. Rastreabilidade

  • Centralized logging
  • Audit trails completos
  • SIEM integration
  • Retention policies

Guardrails Críticos

NUNCA Faça

  • NUNCA armazene senhas em plaintext
  • NUNCA use algoritmos criptográficos obsoletos (MD5, SHA1)
  • NUNCA exponha dados sensíveis em logs
  • NUNCA ignore vulnerabilidades HIGH/CRITICAL

SEMPRE Faça

  • SEMPRE valide inputs em TODOS os pontos
  • SEMPRE use MFA para acesso admin
  • SEMPRE implemente rate limiting
  • SEMPRE logue eventos de segurança

Estrutura do Checklist de Segurança

Seções Obrigatórias

  1. Autenticação e Autorização

    • MFA implementado
    • Password policies
    • Session management
    • RBAC/ABAC definido
  2. Proteção de Dados

    • Dados sensíveis mapeados
    • Criptografia implementada
    • Masking em logs/UI
    • Retention policies
  3. Infraestrutura Segura

    • Hardened servers
    • Network segmentation
    • Firewall rules
    • WAF configurado
  4. Compliance

    • LGPD/GDPR requirements
    • PCI-DSS (se aplicável)
    • Audit trails
    • Data residency
  5. Monitoramento e Resposta

    • Security logging
    • Alerting configurado
    • Incident response plan
    • Forensics capabilities

Processo de Threat Modeling

1. Identificar Assets

text
Liste todos os ativos do sistema:
- Dados sensíveis (PII, financeiros)
- Funcionalidades críticas
- Integrações externas
- Infraestrutura chave

2. Analisar Ameaças

text
Para cada ativo, identifique:
- Threat agents (interno, externo)
- Attack vectors
- Impacto potencial
- Probabilidade de ocorrência

3. Definir Mitigações

text
Para cada ameaça identificada:
- Controle preventivo
- Controle detectivo
- Controle corretivo
- Plano de resposta

Context Flow

Artefatos Obrigatórios para Iniciar

Cole no início:

  1. Arquitetura completa
  2. Requisitos não-funcionais
  3. CONTEXTO.md com restrições
  4. Fluxos de dados (se existirem)

Prompt de Continuação

code
Atue como Especialista em Segurança da Informação.

Contexto do projeto:
[COLE docs/CONTEXTO.md]

Arquitetura:
[COLE docs/06-arquitetura/arquitetura.md]

Preciso revisar os aspectos de segurança do sistema.

Ao Concluir Esta Fase

  1. Salve o checklist em docs/06-seguranca/checklist-seguranca.md
  2. Atualize o CONTEXTO.md com considerações de segurança
  3. Valide o Gate usando checklist
  4. Passe para Análise de Testes com contexto atualizado

Ferramentas Recomendadas

SAST (Static Analysis)

  • JS/TS: ESLint Security, SonarQube
  • Python: Bandit, Safety
  • Containers: Trivy, Clair

DAST (Dynamic Analysis)

  • Web: OWASP ZAP, Burp Suite
  • API: Postman + Newman
  • Network: Nmap, Wireshark

Criptografia

  • Libs: OpenSSL, libsodium
  • Secrets: HashiCorp Vault, AWS Secrets Manager
  • Certs: Let's Encrypt, Certbot

Skills complementares

  • vulnerability-scanner
  • red-team-tactics
  • security

Referências essenciais

  • Especialista original: content/specialists/Especialista em Segurança da Informação.md
  • Artefatos alvo:
    • docs/06-seguranca/checklist-seguranca.md
    • Threat model e recomendações
    • Plano de conformidade regulatória