coff0xc-compliance-architecture

<!-- skill-id: cs-car-a64d8e31 -->

快速规则（日常任务先读这里）

[范围先行] 先定系统边界、数据分类、信任边界、合规框架、控制目标和证据来源。 [架构门禁] 风险要映射到资产、威胁、控制、负责人、验证证据和残余风险。 [输出可审计] 交付威胁模型、控制矩阵、差距、优先级、例外和整改路线。 [硬边界] 法律意见、客户承诺、正式认证声明、生产策略变更和公开发布先确认。

普通安全架构/合规评审按本节先推进；只有正式审计、客户交付或企业控制治理时再展开完整工作流。

能力定位

面向安全架构、威胁建模、合规映射、数据安全和成熟度评估的治理能力。它把系统设计、控制要求和审计证据整理成能落地的风险决策材料。

能交付什么

• 架构风险评审和信任边界图
• STRIDE/威胁建模、控制矩阵和差距分析
• 数据分类、隐私、DLP 和日志审计建议
• 合规证据清单、整改路线和上线门禁

可以接收什么输入

• 架构图、数据流、系统说明、上线方案
• 合规要求、控制项、审计证据、政策文档
• 数据分类、权限模型、日志和风险登记

放心使用的边界

• 可做设计评审、差距分析和证据整理
• 不替代法律意见、正式审计签字或监管结论
• 生产策略变更、权限收敛和数据处理动作必须先确认
• 安全类能力默认只用于授权、防御、检测、加固、验证和报告；不提供未授权攻击、凭据窃取、持久化、规避检测、C2、钓鱼收集、数据外传或破坏性步骤。

为什么可以放心

• 把控制项映射到具体系统证据
• 区分必须修、可接受风险和后续改进
• 输出能被工程、审计和管理层共同理解

典型使用方式

使用 coff0xc-compliance-architecture 做上线前安全架构评审和威胁建模。
使用 coff0xc-compliance-architecture 把这些控制项映射成审计证据清单。
Use coff0xc-compliance-architecture to build a risk model and remediation roadmap.

目标

把架构和合规要求转成资产、数据流、威胁、控制、证据和整改计划，而不是泛泛清单。

适用场景

• 做系统安全架构评审、威胁建模、合规差距分析、数据保护和控制矩阵。
• 梳理数据分类、加密、脱敏、DLP、访问控制、日志审计和隐私风险。
• 制定安全基线、成熟度路线、整改优先级和证据收集计划。

触发强化

• 自动触发主要依赖本文件 frontmatter 的 description；本 skill 已把中文、英文、工具名、来源别名和常见缩写写入 description。
• 如果没有自动触发，手动写：使用 coff0xc-compliance-architecture ...。
• 如果用户只写了宽泛主题，可先用 coff0xc-skill-router 路由到本 skill。

不适用场景

• 不要凭过期记忆回答当前法规条款、认证要求或标准版本。
• 不要把合规勾选当安全结论；必须结合系统证据。
• 涉及法律解释时给技术视角和证据等级，不替代律师意见。

执行原则

• 先读取项目文件、配置、调用点、现有风格和可用工具，再下结论或改文件。
• 把用户目标转成可验证的完成标准；不确定但低风险的细节记录为假设并继续推进。
• 涉及当前事实、版本、CVE、云服务、GitHub 状态、价格、外部 API 或论文时，查真实来源并标注证据等级。
• 涉及代码改动时保持最小正确改动，优先使用现有框架、脚本、测试和本地工具。
• 只有真实运行过的命令、测试、构建、扫描或人工检查才能写成已验证。
• 涉及删除、远程写入、生产、凭据、付费、push、PR/Issue、CI/CD、权限或基础设施变更时，先拿到明确授权。

安全边界

• 只处理自有资产、明确授权资产、实验室、CTF、靶场、日志、配置、样本、代码审计、防御建设和报告写作。
• 真实第三方目标上不提供漏洞利用、凭证获取、持久化、规避检测、C2、钓鱼收集、数据外传、破坏或未授权访问步骤。
• 高风险请求默认转为防御输出：授权边界、风险解释、检测思路、日志查询、规则草案、加固方案、验证清单和报告结构。
• 主动联网扫描、云账号检查、目录/租户查询或生产环境动作前，确认目标范围、速率、时间窗口、禁止动作和回滚方式。
• 发现密钥、个人信息、样本敏感数据或客户数据时，只报告类型、位置和处置建议，不复述完整秘密值。

能力矩阵

能力域	覆盖范围	执行要点
架构评审	边界、信任区、入口、身份、数据流、第三方、故障模式	架构风险可定位。
威胁建模	STRIDE、PASTA、attack trees、abuse cases、assets	威胁映射到控制。
合规映射	等保、PCI-DSS、GDPR、ISO27001、SOC2、CIS、NIST	条款到证据和差距。
数据安全	分类分级、加密、脱敏、masking、retention、backup、DLP	数据生命周期可控。
隐私	PII、consent、purpose limitation、DSR、minimization、cross-border	隐私风险可说明。
基线	OS、DB、K8s、Cloud、App、Logging、Endpoint	配置基线和例外管理。
成熟度	能力现状、目标状态、路线图、owner、SLA、指标	整改可跟踪。

子域路由

来源 skill	并入后的处理方式
security-architecture	系统边界、威胁建模、控制设计和安全评审。
compliance-audit	等保、PCI-DSS、GDPR、基线和证据映射。
data-security	数据分类、加密、脱敏、DLP、访问控制。

工作流

阶段	动作	完成标准
范围定义	确认系统、数据、法规/标准、业务目标和评审深度。	评审目标明确。
资产数据流	画资产、信任边界、身份、数据流、第三方和存储。	威胁模型有基础。
控制映射	把威胁/条款映射到现有控制、证据和缺口。	差距具体。
风险排序	按影响、可能性、合规要求、可执行性和依赖排序。	整改有优先级。
整改计划	给 owner、步骤、验证、时间、例外和残余风险。	能落地管理。
证据包	整理截图、配置、日志、测试、策略、流程和报告引用。	审计可复查。

证据等级

• 已验证：本地命令、测试、构建、源码、配置、日志、官方资料或可复现数据支持。
• 高可信：多个可靠来源一致，但当前环境没有完整复现。
• 推断：基于已验证事实的合理判断，需要后续验证。
• 未验证：尚未确认，不能作为最终结论。
• 未知：资料不足，需要补充输入或授权。

硬门禁

• 当前法规、标准版本、认证要求必须查官方或权威来源。
• 访问生产证据、客户数据或审计系统前确认权限和脱敏。
• 不要把技术建议写成法律结论。

验证清单

• 每个合规结论都有证据文件、配置、截图或流程记录。
• 每个威胁有现有控制、缺口和验证方式。
• 数据保护结论覆盖采集、传输、存储、使用、共享、删除。
• 整改项有 owner、优先级和验收标准。

反模式

• 复制标准条款，不映射真实系统。
• 只看网络边界，不看身份和数据流。
• 把加密当作所有数据安全问题的答案。
• 没有证据就标合规通过。

合并来源

• compliance-audit
• data-security
• security-architecture

本机相近 Skill

• guidelines-advisor
• sharp-edges
• code-maturity-assessor

输出合同

完成：
- ...

证据：
- [已验证/高可信/推断/未验证/未知] ...

行动：
- ...

验证：
- ...

剩余风险：
- ...

下一步：
- ...