dependency-health
プロジェクトの依存関係をセキュリティ脆弱性、バージョンの古さ、ライセンス互換性の問題について確認できます。依存関係の確認、パッケージの更新、セキュリティチェックの実行時、またはユーザーが「監査」「脆弱性」「古い」「依存関係」について言及した場合に使用します。
description の原文を見る
Check project dependencies for security vulnerabilities, outdated versions, and license compatibility issues. Use when reviewing dependencies, updating packages, running security checks, or when the user mentions "audit", "vulnerabilities", "outdated", or "dependencies".
SKILL.md 本文
依存関係ヘルスチェッカー
プロジェクトの依存関係を、既知の脆弱性、古いバージョン、潜在的な問題についてチェックします。
実行するタイミング
- ユーザーが依存関係のセキュリティまたは脆弱性について質問した
- ユーザーが依存関係を更新または追加している
- ユーザーが「audit」「outdated」「vulnerable」「dependencies」といったキーワードを使用している
- ユーザーがリリースまたはデプロイメント準備をしている
チェック対象
1. 既知の脆弱性
プロジェクトのパッケージマネージャーに対応する監査コマンドを実行します:
# Node.js
npm audit --json 2>/dev/null | python3 -c "import sys,json; d=json.load(sys.stdin); print(f'Vulnerabilities: {d.get(\"metadata\",{}).get(\"vulnerabilities\",{})}')"
# Python
pip audit 2>/dev/null || echo "Install: pip install pip-audit"
# Go
govulncheck ./... 2>/dev/null || echo "Install: go install golang.org/x/vuln/cmd/govulncheck@latest"
# Rust
cargo audit 2>/dev/null || echo "Install: cargo install cargo-audit"
2. 古い依存関係
# Node.js
npm outdated 2>/dev/null
# Python
pip list --outdated 2>/dev/null
# Go
go list -m -u all 2>/dev/null
# Rust
cargo outdated 2>/dev/null
3. レポート形式
結果を以下の形式で提示します:
| パッケージ | 現在のバージョン | 最新版 | 重大度 | 対応 |
|---|---|---|---|---|
| express | 4.18.2 | 5.1.0 | Major | 更新前にチェンジログを確認してください |
| lodash | 4.17.19 | 4.17.21 | Patch (security) | すぐに更新してください |
4. 推奨事項
- Critical/High 脆弱性: 直ちにフラグを立て、具体的なアップデートコマンドを提案する
- 古いバージョン (major): 破壊的変更に注意し、チェンジログへのリンクを提供する
- 古いバージョン (minor/patch): バッチアップデートを提案する
- 問題が見つからない: プロジェクトが健全であることを確認する
参考資料
SECURITY.md— 脆弱性報告Dependabot config— 自動アップデートPROD_CHECKLIST.md— デプロイ前チェックリスト
ライセンス: MIT(寛容ライセンスのため全文を引用しています) · 原本リポジトリ
詳細情報
- 作者
- vbonk
- リポジトリ
- vbonk/repo-template
- ライセンス
- MIT
- 最終更新
- 2026/5/12
Source: https://github.com/vbonk/repo-template / ライセンス: MIT
関連スキル
secure-code-guardian
認証・認可の実装、ユーザー入力の保護、OWASP Top 10の脆弱性対策が必要な場合に使用します。bcrypt/argon2によるパスワードハッシング、パラメータ化ステートメントによるSQLインジェクション対策、CORS/CSPヘッダーの設定、Zodによる入力検証、JWTトークンの構築などのカスタムセキュリティ実装に対応します。認証、認可、入力検証、暗号化、OWASP Top 10対策、セッション管理、セキュリティ強化全般で活用できます。ただし、構築済みのOAuth/SSO統合や単独のセキュリティ監査が必要な場合は、より特化したスキルの検討をお勧めします。
claude-authenticity
APIエンドポイントが本物のClaudeによって支えられているか(ラッパーやプロキシ、偽装ではないか)を、claude-verifyプロジェクトを模した9つの重み付きルールベースチェックで検証できます。また、Claudeの正体を上書きしているプロバイダーから注入されたシステムプロンプトも抽出します。完全に自己完結しており、httpx以外の追加パッケージは不要です。Claude APIキーまたはエンドポイントを検証したい場合、サードパーティのClaudeサービスが本物か確認したい場合、APIプロバイダーのClaude正当性を監査したい場合、複数モデルを並行してテストしたい場合、またはプロバイダーが注入したシステムプロンプトを特定したい場合に使用できます。
anth-security-basics
Anthropic Claude APIのセキュリティベストプラクティスを適用し、キー管理、入力値の検証、プロンプトインジェクション対策を実施します。APIキーの保護、Claudeに送信する前のユーザー入力検証、コンテンツセーフティガードレールの実装が必要な場合に活用できます。「anthropic security」「claude api key security」「secure anthropic」「prompt injection defense」といったフレーズでトリガーされます。
x-ray
x-ray.mdプレ監査レポートを生成します。概要、強化された脅威モデル(プロトコルタイプのプロファイリング、Gitの重み付け攻撃面分析、時間軸リスク分析、コンポーザビリティ依存関係マッピング)、不変条件、統合、ドキュメント品質、テスト分析、開発者・Gitの履歴をカバーしています。「x-ray」「audit readiness」「readiness report」「pre-audit report」「prep this protocol」「protocol prep」「summarize this protocol」のキーワードで実行されます。
semgrep
Semgrepスタティック分析スキャンを実行し、カスタム検出ルールを作成します。Semgrepでのコードスキャン、セキュリティ脆弱性の検出、カスタムYAMLルールの作成、または特定のバグパターンの検出が必要な場合に使用します。重要:ユーザーが「バグをスキャンしたい」「コード品質を確認したい」「脆弱性を見つけたい」「スタティック分析」「セキュリティlint」「コード監査」または「コーディング標準を適用したい」と尋ねた場合も、Semgrepという名称を明記していなくても、このスキルを使用してください。Semgrepは30以上の言語に対応したパターンベースのコードスキャンに最適なツールです。
ghost-bits-cast-attack
Java「ゴーストビッツ」/キャストアタック プレイブック(Black Hat Asia 2026)。16ビット文字が8ビットバイトに暗黙的に縮小されるJavaサービスへの攻撃時に使用します。WAF/IDSを回避して、SQLインジェクション、デシリアライゼーション型RCE、ファイルアップロード(Webシェル)、パストトラバーサル、CRLF インジェクション、リクエストスマグリング、SMTPインジェクションを実行できます。Tomcat、Spring、Jetty、Undertow、Vert.x、Jackson、Fastjson、Apache Commons BCEL、Apache HttpClient、Angus Mail、JDK HttpServer、Lettuce、Jodd、XMLWriterに影響し、WAFバイパスにより多くの「パッチ済み」CVEを再度有効化します。