/security-audit
Pipeline de sécurité 4 couches complémentaires avec rapport priorisé et plan de correction.
Usage
/security-audit # Pipeline complet 4 couches
/security-audit -q deps # Audit rapide dépendances uniquement
/security-audit trivy # Scan secrets/misconfig uniquement
/security-audit snyk # SAST/SCA uniquement
/security-audit ai # Raisonnement IA uniquement
/security-audit -s # Avec sauvegarde du rapport
/security-audit -f # Forcer même sans outils manquantsArguments
| Argument | Description |
|---|---|
deps | Couche 1 uniquement — audit dépendances |
trivy | Couche 2 uniquement — scan filesystem |
snyk | Couche 3 uniquement — analyse code source |
ai | Couche 4 uniquement — raisonnement IA |
-q | Quick — exécuter uniquement la couche spécifiée |
-f | Force — continuer même si certains outils manquent |
-s | Save — sauvegarder les rapports dans .security/ |
Les 4 couches
Le pipeline exécute 4 couches complémentaires, chacune ciblant un vecteur d'attaque différent :
Couche 1 — Dépendances
Scanne les dépendances du projet pour les CVE connues via pnpm audit, npm audit, pip audit ou go vuln.
- Outils : gestionnaire de paquets du projet
- Détecte : vulnérabilités connues dans les dépendances
Couche 2 — Filesystem (Trivy)
Scanne le système de fichiers avec Trivy pour détecter secrets, misconfigurations et vulnérabilités.
- Outils :
trivy fs --scanners vuln,secret,misconfig - Détecte : secrets leakés, configurations dangereuses, vulnérabilités OS
Couche 3 — Code source (Snyk)
Analyse statique du code source avec Snyk (SCA + SAST).
- Outils :
snyk test+snyk code test - Détecte : vulnérabilités SCA, failles SAST dans le code
Couche 4 — Raisonnement IA
Analyse en profondeur par l'agent security-reviewer (opus) : logique métier, authentification, injections, OWASP Top 10.
- Agent :
security-reviewer(opus) - Détecte : failles logiques, problèmes d'auth, injections, trust boundaries
Steps
| Step | Description |
|---|---|
| 01 — Setup | Vérifier prérequis, créer .security/, définir le scope |
| 02 — Deps | Couche 1 — Scanner les dépendances |
| 03 — Trivy | Couche 2 — Scanner le filesystem |
| 04 — Snyk | Couche 3 — Analyser le code source |
| 05 — AI Review | Couche 4 — Raisonnement IA sur les rapports + code |
| 06 — Report | Agréger, prioriser, générer le rapport final |
Agents
| Agent | Modèle | Rôle | Step |
|---|---|---|---|
security-reviewer | opus | Raisonnement IA : auth, injections, logique métier | 05 |
quality-reviewer | sonnet | Validation du rapport, cohérence des findings | 06 |
Les couches 1-3 sont des commandes CLI exécutées dans le contexte principal. Les couches 2-3 sont parallélisées quand les deux outils sont disponibles.
Prérequis
| Outil | Requis pour | Installation |
|---|---|---|
pnpm ou npm | Couche 1 (deps) | Inclus avec Node.js |
trivy | Couche 2 (filesystem) | brew install trivy / apt install trivy / choco install trivy |
snyk | Couche 3 (code source) | npm install -g snyk + compte gratuit |
Flag -f (force)
Si Trivy ou Snyk ne sont pas installés, utilisez -f pour exécuter les couches disponibles sans bloquer le pipeline.
Raccourcis par couche
| Mode | Couches exécutées | Quand l'utiliser |
|---|---|---|
deps | 01 → 02 → 06 | Audit rapide dépendances |
trivy | 01 → 03 → 06 | Scan secrets/misconfig uniquement |
snyk | 01 → 04 → 06 | SAST/SCA uniquement |
ai | 01 → 05 → 06 | Raisonnement IA uniquement (sans scanners) |
| (défaut) | 01 → 02 → 03 → 04 → 05 → 06 | Pipeline complet 4 couches |
Rapport final
Le rapport généré contient :
- Findings priorisés — classés par sévérité (Critical, High, Medium, Low)
- Source de chaque finding — quelle couche l'a détecté
- Plan de correction — actions concrètes ordonnées par priorité
- Métriques — nombre de findings par couche et par sévérité
Avec le flag -s, le rapport est sauvegardé dans .security/report-YYYY-MM-DD.md.
Relation avec /review-code
/review-code effectue une review qualité/sécurité/tests du code. /security-audit est un audit de sécurité dédié plus profond, avec des outils externes (Trivy, Snyk) et un raisonnement IA spécialisé. Les deux sont complémentaires.