跳转到主要内容
抢先应对 OWASP Top 10。此定时自动化会针对当前 OWASP Top 10 Web 应用安全风险,对你的代码库执行有针对性的审计——包括缺失的安全标头、CSRF 防护漏洞、SQL 注入暴露面以及薄弱的身份验证模式——然后创建工单并发起加固 PR。

使用此模板

在 Devin 中打开 OWASP 安全加固,并使用默认配置创建该自动化。你可以在保存前进行自定义。

此自动化的作用

OWASP Top 10 是 Web 应用安全的行业基线环境,但大多数团队没有时间定期据此开展审计。这项自动化会替你完成这些工作:每周扫描、按优先级排序并映射到各个 OWASP 类别的发现项,以及针对 Devin 可安全修复的问题提供可直接使用的修复 PR。

工作原理

触发器: 计划事件recurring
  • 事件: schedule:recurring
    • 条件:
      • rrule 匹配 FREQ=WEEKLY;BYDAY=MO;BYHOUR=9;BYMINUTE=0
Devin 会执行的操作: 基于完整的事件上下文启动会话,执行下方的提示,并可在失败时通知你。

前提条件

示例提示

该模板自带此提示。你可以在点击 使用模板 后进行编辑,或保持原样。

设置

  1. 在 Devin 中打开 Automations → Templates
  2. 点击 OWASP Security Hardening。系统会打开创建页面,并预先填好此模板。
  3. 连接所有必需的集成,如果你还没有安装 MCP 服务器,请先完成安装。
  4. 替换触发条件中的所有占位符值 (例如,将 your-org/your-repo 替换为你的实际 repo) 。
  5. 查看提示,并根据你团队的语言、规范和护栏进行调整。
  6. 点击 创建自动化
大多数自动化模板都包含建议的 ACU 和调用次数限制,用于在早期 rollout 阶段控制成本。在你对自动化的行为有足够把握之前,请保持默认设置不变;之后再根据你的工作负载提高这些限制。

何时使用此模板

  • 在准备 SOC 2、ISO 27001 或 HIPAA 审计前
  • 响应客户安全审查要求
  • 持续维护安全态势
  • 在暴露于不可信流量之前主动进行加固

自定义思路

  • 聚焦特定的 OWASP 类别 (例如 A01、A03、A07)
  • 将作用域限定为特定代码仓库或服务 (对外 vs 内部)
  • 交叉对照渗透测试发现
  • 与你的合规平台集成,以收集证据

另请参阅