Agent Skills by ALSEL
Anthropic Claudeセキュリティ⭐ リポ 0品質スコア 50/100

code-review

セキュリティ・パフォーマンス・正確性の観点からコードの変更点をレビューします。PRのURLやdiff、「マージ前に確認して」「このコードは安全?」といった依頼のほか、N+1クエリ・インジェクションリスク・エッジケースの漏れ・エラーハンドリングの不備をチェックしたい際にトリガーされます。

description の原文を見る

Review code changes for security, performance, and correctness. Trigger with a PR URL or diff, "review this before I merge", "is this code safe?", or when checking a change for N+1 queries, injection risks, missing edge cases, or error handling gaps.

SKILL.md 本文

/code-review

不慣れなプレースホルダーや接続されているツールを確認する必要がある場合は、CONNECTORS.md を参照してください。

セキュリティ、パフォーマンス、正確性、保守性という構造的な観点からコード変更をレビューします。

使用方法

/code-review <PR URL またはファイルパス>

提供されたコード変更をレビューする: @$1

特定のファイルまたは URL が提供されない場合は、何をレビューするかをお尋ねします。

仕組み

┌─────────────────────────────────────────────────────────────────┐
│                      CODE REVIEW                                   │
├─────────────────────────────────────────────────────────────────┤
│  スタンドアロン (常に機能)                                        │
│  ✓ diff、PR URL、またはファイルを貼り付け可能                    │
│  ✓ セキュリティ監査 (OWASP Top 10、インジェクション、認証)       │
│  ✓ パフォーマンスレビュー (N+1、メモリリーク、複雑性)            │
│  ✓ 正確性 (エッジケース、エラーハンドリング、競合状態)           │
│  ✓ スタイル (命名、構造、可読性)                                 │
│  ✓ コード例を含むアクション可能な提案                            │
├─────────────────────────────────────────────────────────────────┤
│  スーパーチャージ版 (ツール連携時)                               │
│  + ソース管理: PR diff を自動取得                                 │
│  + プロジェクトトラッカー: 検出結果をチケットにリンク            │
│  + ナレッジベース: チーム コーディング標準に照らし合わせて確認   │
└─────────────────────────────────────────────────────────────────┘

レビュー対象

セキュリティ

  • SQL インジェクション、XSS、CSRF
  • 認証・認可の欠陥
  • コード内のシークレットまたは認証情報
  • 安全でないデシリアライゼーション
  • パストラバーサル
  • SSRF

パフォーマンス

  • N+1 クエリ
  • 不要なメモリ割り当て
  • アルゴリズム複雑性 (ホットパスでの O(n²))
  • データベースインデックスの欠落
  • 制限なしクエリまたはループ
  • リソースリーク

正確性

  • エッジケース (空入力、null、オーバーフロー)
  • 競合状態と並行処理の問題
  • エラーハンドリングと伝播
  • 1 つずれたエラー
  • 型安全性

保守性

  • 命名の明確性
  • 単一責任の原則
  • 重複
  • テストカバレッジ
  • 自明でないロジックのドキュメント

出力

## Code Review: [PR タイトルまたはファイル名]

### Summary
[変更内容と全体的な品質の 1~2 文での概要]

### Critical Issues
| # | File | Line | Issue | Severity |
|---|------|------|-------|----------|
| 1 | [ファイル] | [行番号] | [説明] | 🔴 Critical |

### Suggestions
| # | File | Line | Suggestion | Category |
|---|------|------|------------|----------|
| 1 | [ファイル] | [行番号] | [説明] | Performance |

### What Looks Good
- [ポジティブな指摘]

### Verdict
[承認 / 変更要求 / 要議論]

コネクタ利用時

ソース管理 が接続されている場合:

  • URL から PR diff を自動取得
  • CI ステータスとテスト結果を確認

プロジェクトトラッカー が接続されている場合:

  • 検出結果を関連するチケットにリンク
  • PR が記載要件に対応していることを確認

ナレッジベース が接続されている場合:

  • チーム コーディング標準とスタイルガイドに照らし合わせて変更を確認

ヒント

  1. コンテキストを提供する — 「これはホットパスです」または「これは PII を処理します」と書くと、焦点を絞れます。
  2. 懸念を指定する — 「セキュリティに焦点を当てて」とすればレビュー内容を絞り込めます。
  3. テストを含める — テストカバレッジと品質もチェックします。

ライセンス: Apache-2.0(寛容ライセンスのため全文を引用しています) · 原本リポジトリ

詳細情報

作者
anthropics
リポジトリ
anthropics/knowledge-work-plugins
ライセンス
Apache-2.0
最終更新
不明
GitHubで原本を見る →フィードバックを送る

Source: https://github.com/anthropics/knowledge-work-plugins / ライセンス: Apache-2.0

関連スキル

Anthropic Claudeセキュリティ⭐ リポ 8,981

secure-code-guardian

認証・認可の実装、ユーザー入力の保護、OWASP Top 10の脆弱性対策が必要な場合に使用します。bcrypt/argon2によるパスワードハッシング、パラメータ化ステートメントによるSQLインジェクション対策、CORS/CSPヘッダーの設定、Zodによる入力検証、JWTトークンの構築などのカスタムセキュリティ実装に対応します。認証、認可、入力検証、暗号化、OWASP Top 10対策、セッション管理、セキュリティ強化全般で活用できます。ただし、構築済みのOAuth/SSO統合や単独のセキュリティ監査が必要な場合は、より特化したスキルの検討をお勧めします。

by Jeffallan
汎用セキュリティ⭐ リポ 1,982

claude-authenticity

APIエンドポイントが本物のClaudeによって支えられているか(ラッパーやプロキシ、偽装ではないか)を、claude-verifyプロジェクトを模した9つの重み付きルールベースチェックで検証できます。また、Claudeの正体を上書きしているプロバイダーから注入されたシステムプロンプトも抽出します。完全に自己完結しており、httpx以外の追加パッケージは不要です。Claude APIキーまたはエンドポイントを検証したい場合、サードパーティのClaudeサービスが本物か確認したい場合、APIプロバイダーのClaude正当性を監査したい場合、複数モデルを並行してテストしたい場合、またはプロバイダーが注入したシステムプロンプトを特定したい場合に使用できます。

by LeoYeAI
Anthropic Claudeセキュリティ⭐ リポ 2,159

anth-security-basics

Anthropic Claude APIのセキュリティベストプラクティスを適用し、キー管理、入力値の検証、プロンプトインジェクション対策を実施します。APIキーの保護、Claudeに送信する前のユーザー入力検証、コンテンツセーフティガードレールの実装が必要な場合に活用できます。「anthropic security」「claude api key security」「secure anthropic」「prompt injection defense」といったフレーズでトリガーされます。

by jeremylongshore
汎用セキュリティ⭐ リポ 699

x-ray

x-ray.mdプレ監査レポートを生成します。概要、強化された脅威モデル(プロトコルタイプのプロファイリング、Gitの重み付け攻撃面分析、時間軸リスク分析、コンポーザビリティ依存関係マッピング)、不変条件、統合、ドキュメント品質、テスト分析、開発者・Gitの履歴をカバーしています。「x-ray」「audit readiness」「readiness report」「pre-audit report」「prep this protocol」「protocol prep」「summarize this protocol」のキーワードで実行されます。

by pashov
汎用セキュリティ⭐ リポ 677

semgrep

Semgrepスタティック分析スキャンを実行し、カスタム検出ルールを作成します。Semgrepでのコードスキャン、セキュリティ脆弱性の検出、カスタムYAMLルールの作成、または特定のバグパターンの検出が必要な場合に使用します。重要:ユーザーが「バグをスキャンしたい」「コード品質を確認したい」「脆弱性を見つけたい」「スタティック分析」「セキュリティlint」「コード監査」または「コーディング標準を適用したい」と尋ねた場合も、Semgrepという名称を明記していなくても、このスキルを使用してください。Semgrepは30以上の言語に対応したパターンベースのコードスキャンに最適なツールです。

by wimpysworld
汎用セキュリティ⭐ リポ 591

ghost-bits-cast-attack

Java「ゴーストビッツ」/キャストアタック プレイブック(Black Hat Asia 2026)。16ビット文字が8ビットバイトに暗黙的に縮小されるJavaサービスへの攻撃時に使用します。WAF/IDSを回避して、SQLインジェクション、デシリアライゼーション型RCE、ファイルアップロード(Webシェル)、パストトラバーサル、CRLF インジェクション、リクエストスマグリング、SMTPインジェクションを実行できます。Tomcat、Spring、Jetty、Undertow、Vert.x、Jackson、Fastjson、Apache Commons BCEL、Apache HttpClient、Angus Mail、JDK HttpServer、Lettuce、Jodd、XMLWriterに影響し、WAFバイパスにより多くの「パッチ済み」CVEを再度有効化します。

by yaklang
本サイトは GitHub 上で公開されているオープンソースの SKILL.md ファイルをクロール・インデックス化したものです。 各スキルの著作権は原作者に帰属します。掲載に問題がある場合は info@alsel.co.jp または /takedown フォームよりご連絡ください。
原作者: anthropics · anthropics/knowledge-work-plugins · ライセンス: Apache-2.0