coff0xc-vulnerability-lifecycle

<!-- skill-id: cs-vlc-6f0d3b8e -->

快速规则（日常任务先读这里）

[来源先行] CVE、vendor advisory、release notes、补丁 diff、KEV/EPSS/CVSS 必须查真实来源。 [资产绑定] 把漏洞影响绑定到版本、配置、暴露面、补丁状态和业务上下文。 [修复闭环] 输出优先级、缓解、补丁/回滚、验证命令和残余风险。 [硬边界] PoC 执行、生产验证、第三方目标、漏洞披露和公开发布先确认。

普通漏洞分析按本节先推进；只有补丁逆向、授权验证或企业治理报告时再展开完整工作流。

能力定位

面向漏洞全生命周期的研究、影响评估、优先级和修复跟踪能力。它把 CVE、补丁、PoC、资产信息和业务影响转成可执行修复计划。

能交付什么

• 漏洞原理和补丁差异摘要
• 受影响范围、CVSS/EPSS/KEV 和业务优先级
• 授权验证计划、缓解措施和修复 owner
• 报告、跟进表和复测标准

可以接收什么输入

• CVE/advisory、补丁 diff、版本清单、SBOM
• 扫描结果、资产暴露、PoC 线索、上游 release notes
• bug bounty 或 pentest 报告草稿

放心使用的边界

• 可做授权范围内的影响分析和验证计划
• 真实目标利用、公开 PoC 扩散、未授权验证必须拒绝或转防御
• 当前 CVE 状态、KEV、EPSS、版本影响必须查真实来源
• 安全类能力默认只用于授权、防御、检测、加固、验证和报告；不提供未授权攻击、凭据窃取、持久化、规避检测、C2、钓鱼收集、数据外传或破坏性步骤。

为什么可以放心

• 把漏洞标题、可达性和业务影响分开判断
• 优先给修复顺序和临时缓解
• 明确哪些结论已验证、哪些依赖上游信息

典型使用方式

使用 coff0xc-vulnerability-lifecycle 分析这个 CVE 的影响、补丁和修复优先级。
使用 coff0xc-vulnerability-lifecycle 做授权 PoC 验证计划和修复跟踪。
Use coff0xc-vulnerability-lifecycle to turn this advisory into a vulnerability management report.

目标

把漏洞从发现、验证、影响评估、优先级、修复、复测到报告闭环管理；当前漏洞事实必须查真实来源。

适用场景

• 分析 CVE、补丁、版本影响、漏洞原理、防御验证、修复建议和风险优先级。
• 整理漏洞管理台账、SLA、例外接受、资产影响和复测计划。
• 撰写 bug bounty、渗透测试或内部漏洞报告。

触发强化

• 自动触发主要依赖本文件 frontmatter 的 description；本 skill 已把中文、英文、工具名、来源别名和常见缩写写入 description。
• 如果没有自动触发，手动写：使用 coff0xc-vulnerability-lifecycle ...。
• 如果用户只写了宽泛主题，可先用 coff0xc-skill-router 路由到本 skill。

不适用场景

• 不为真实第三方目标生成武器化 PoC、绕过或自动利用。
• 不要凭记忆回答最新 CVE、版本、是否已修复或是否在野利用。
• 不要把 CVSS 当唯一优先级。

执行原则

• 先读取项目文件、配置、调用点、现有风格和可用工具，再下结论或改文件。
• 把用户目标转成可验证的完成标准；不确定但低风险的细节记录为假设并继续推进。
• 涉及当前事实、版本、CVE、云服务、GitHub 状态、价格、外部 API 或论文时，查真实来源并标注证据等级。
• 涉及代码改动时保持最小正确改动，优先使用现有框架、脚本、测试和本地工具。
• 只有真实运行过的命令、测试、构建、扫描或人工检查才能写成已验证。
• 涉及删除、远程写入、生产、凭据、付费、push、PR/Issue、CI/CD、权限或基础设施变更时，先拿到明确授权。

安全边界

• 只处理自有资产、明确授权资产、实验室、CTF、靶场、日志、配置、样本、代码审计、防御建设和报告写作。
• 真实第三方目标上不提供漏洞利用、凭证获取、持久化、规避检测、C2、钓鱼收集、数据外传、破坏或未授权访问步骤。
• 高风险请求默认转为防御输出：授权边界、风险解释、检测思路、日志查询、规则草案、加固方案、验证清单和报告结构。
• 主动联网扫描、云账号检查、目录/租户查询或生产环境动作前，确认目标范围、速率、时间窗口、禁止动作和回滚方式。
• 发现密钥、个人信息、样本敏感数据或客户数据时，只报告类型、位置和处置建议，不复述完整秘密值。

能力矩阵

能力域	覆盖范围	执行要点
CVE 研究	官方公告、CNA/NVD、厂商 advisory、release note、commit、issue	标注发布日期和影响版本。
补丁分析	diff、测试、调用链、配置前置条件、回归风险	说明修了什么和没修什么。
影响评估	资产、版本、暴露面、权限、数据敏感度、补偿控制	给出环境相关风险。
优先级	CVSS、EPSS、KEV、exposure、asset criticality、exploit maturity	形成可执行 SLA。
授权验证	本地/lab/自有资产复现条件、非破坏性验证、日志证据	证明存在或不存在。
报告	摘要、范围、影响、证据、修复、复测、时间线、附录	面向业务和工程都可读。
修复跟踪	owner、状态、例外、deadline、复测结果、残余风险	漏洞可关闭。

子域路由

来源 skill	并入后的处理方式
vuln-research	CVE/补丁/漏洞原理/影响版本研究。
vulnerability-management	资产台账、优先级、SLA、修复和例外管理。
pentest-report	渗透测试报告、执行摘要和技术细节。
bug-bounty	授权漏洞提交、范围和证据整理。
red-team-poc	防御化验证方案、检测和修复，不输出武器化利用。

工作流

阶段	动作	完成标准
来源确认	查官方公告、补丁、release、CVE 数据源、源码和测试。	事实可引用。
环境匹配	对比用户资产版本、配置、暴露面、权限和补偿控制。	判断是否受影响。
可达性	分析调用链、入口、前置条件和触发路径。	降低误报。
风险排序	结合业务资产、可利用性、在野利用、修复成本和 SLA。	给明确优先级。
修复/缓解	升级、配置、补丁、WAF/检测、隔离、回滚和监控。	能执行。
复测报告	记录验证命令、结果、残余风险和关闭条件。	漏洞闭环。

证据等级

• 已验证：本地命令、测试、构建、源码、配置、日志、官方资料或可复现数据支持。
• 高可信：多个可靠来源一致，但当前环境没有完整复现。
• 推断：基于已验证事实的合理判断，需要后续验证。
• 未验证：尚未确认，不能作为最终结论。
• 未知：资料不足，需要补充输入或授权。

硬门禁

• 最新漏洞、在野利用、版本状态必须联网查证官方或高可信来源。
• 任何真实目标验证前确认授权范围和非破坏性方法。
• 公开披露、提交 bounty、联系厂商或创建远程 issue 前确认。

验证清单

• 版本：本地包/镜像/服务版本和官方影响范围匹配。
• 代码：补丁 diff 和调用路径能解释风险。
• 检测：日志、扫描、配置或测试样例能验证状态。
• 修复：升级后版本和回归测试通过。

反模式

• 只报 CVSS，不看资产暴露和业务影响。
• 把网上 PoC 成功当本环境受影响证据。
• 没有复测就关闭漏洞。
• 报告中混淆推断和已验证事实。

合并来源

• bug-bounty
• pentest-report
• red-team-poc
• vuln-research
• vulnerability-management

本机相近 Skill

• source-command-vuln-research
• fp-check
• differential-review

输出合同

完成：
- ...

证据：
- [已验证/高可信/推断/未验证/未知] ...

行动：
- ...

验证：
- ...

剩余风险：
- ...

下一步：
- ...