security-review

# 安全审查技能 (Security Review Skill)

此技能确保所有代码遵循安全最佳实践，并识别潜在的漏洞。

## 何时激活

- 实现身份认证（authentication）或授权（authorization）时
- 处理用户输入或文件上传时
- 创建新的 API 端点时
- 处理凭据（secrets）或证书（credentials）时
- 实现支付功能时
- 存储或传输敏感数据时
- 集成第三方 API 时

## 安全检查清单

### 1. 凭据管理 (Secrets Management)

#### ❌ 严禁这样做
```typescript
const apiKey = "sk-proj-xxxxx"  // 硬编码凭据
const dbPassword = "password123" // 在源代码中
```

#### ✅ 务必这样做
```typescript
const apiKey = process.env.OPENAI_API_KEY
const dbUrl = process.env.DATABASE_URL

// 验证凭据是否存在
if (!apiKey) {
  throw new Error('OPENAI_API_KEY not configured')
}
```

#### 验证步骤
- [ ] 不存在硬编码的 API 密钥、令牌（tokens）或密码
- [ ] 所有凭据均存储在环境变量中
- [ ] `.env.local` 已包含在 .gitignore 中
- [ ] Git 历史记录中没有凭据
- [ ] 生产环境凭据配置在托管平台（如 Vercel, Railway）

### 2. 输入校验 (Input Validation)

#### 始终校验用户输入
```typescript
import { z } from 'zod'

// 定义校验模式 (Schema)
const CreateUserSchema = z.object({
  email: z.string().email(),
  name: z.string().min(1).max(100),
  age: z.number().int().min(0).max(150)
})

// 在处理前校验
export async function createUser(input: unknown) {
  try {
    const validated = CreateUserSchema.parse(input)
    return await db.users.create(validated)
  } catch (error) {
    if (error instanceof z.ZodError) {
      return { success: false, errors: error.errors }
    }
    throw error
  }
}
```

#### 文件上传校验
```typescript
function validateFileUpload(file: File) {
  // 大小检查 (最大 5MB)
  const maxSize = 5 * 1024 * 1024
  if (file.size > maxSize) {
    throw new Error('File too large (max 5MB)')
  }

  // 类型检查
  const allowedTypes = ['image/jpeg', 'image/png', 'image/gif']
  if (!allowedTypes.includes(file.type)) {
    throw new Error('Invalid file type')
  }

  // 后缀检查
  const allowedExtensions = ['.jpg', '.jpeg', '.png', '.gif']
  const extension = file.name.toLowerCase().match(/\.[^.]+$/)?.[0]
  if (!extension || !allowedExtensions.includes(extension)) {
    throw new Error('Invalid file extension')
  }

  return true
}
```

#### 验证步骤
- [ ] 所有用户输入均通过模式（schemas）校验
- [ ] 限制文件上传（大小、类型、后缀）
- [ ]