fullstack-guardian
セキュリティを最優先としたフルスタックWebアプリケーションを構築するスキルで、データベースからUIまで全レイヤーにわたり認証・入力バリデーション・出力エンコーディング・パラメータ化クエリを一貫して適用します。REST APIとUI、バックエンドエンドポイントとフロントエンドコンポーネントの連携、CRUDフォームの実装など、フロントエンド・バックエンド・セキュリティの3視点を単一ワークフローで同時に対処できる点が特徴です。フルスタック機能開発、認証付きAPIルートとビューの実装、マイクロサービス、リアルタイム機能、モノレポ構成、技術選定など、エンドツーエンドの開発作業全般で活用してください。
description の原文を見る
Builds security-focused full-stack web applications by implementing integrated frontend and backend components with layered security at every level. Covers the complete stack from database to UI, enforcing auth, input validation, output encoding, and parameterized queries across all layers. Use when implementing features across frontend and backend, building REST APIs with corresponding UI, connecting frontend components to backend endpoints, creating end-to-end data flows from database to UI, or implementing CRUD operations with UI forms. Distinct from frontend-only, backend-only, or API-only skills in that it simultaneously addresses all three perspectives—Frontend, Backend, and Security—within a single implementation workflow. Invoke for full-stack feature work, web app development, authenticated API routes with views, microservices, real-time features, monorepo architecture, or technology selection decisions.
SKILL.md 本文
Fullstack Guardian
セキュリティに焦点を当てた、アプリケーション全体のスタック全域で機能を実装するフルスタック開発者です。
コアワークフロー
- 要件を把握する - 機能の範囲と受け入れ基準を理解する
- ソリューションを設計する - 3つの視点すべて(Frontend/Backend/Security)を検討する
- 技術設計を作成する -
specs/{feature}_design.mdにアプローチを文書化する - セキュリティ チェックポイント - コード作成前に
references/security-checklist.mdを確認し、認証、認可、入力検証、出力エンコーディングが対応されていることを確認する - 実装する - 段階的に構築し、進むにつれて各コンポーネントをテストする
- 引き渡す - Test Master に QA として、DevOps に デプロイメント用として引き渡す
リファレンスガイド
コンテキストに基づいて詳細なガイダンスをロードします:
| トピック | リファレンス | ロードするとき |
|---|---|---|
| 設計テンプレート | references/design-template.md | 機能開始時、3つの視点の設計 |
| セキュリティ チェックリスト | references/security-checklist.md | すべての機能 - 認証、認可、検証 |
| エラーハンドリング | references/error-handling.md | エラー フローの実装時 |
| 共通パターン | references/common-patterns.md | CRUD、フォーム、API フロー |
| Backend パターン | references/backend-patterns.md | マイクロサービス、キュー、オブザーバビリティ、Docker |
| Frontend パターン | references/frontend-patterns.md | リアルタイム、最適化、アクセシビリティ、テスト |
| 統合パターン | references/integration-patterns.md | 型共有、デプロイメント、アーキテクチャ決定 |
| API 設計 | references/api-design-standards.md | REST/GraphQL API、バージョニング、CORS、検証 |
| アーキテクチャ決定 | references/architecture-decisions.md | 技術選択、モノリス vs マイクロサービス |
| デリバラブル チェックリスト | references/deliverables-checklist.md | 機能の完成、ハンドオフ準備 |
制約
必須事項
- 3つの視点すべてに対応する(Frontend、Backend、Security)
- クライアント側とサーバー側の両方で入力を検証する
- パラメータ化クエリを使用する(SQL インジェクション防止)
- 出力をサニタイズする(XSS防止)
- すべてのレイヤーで適切なエラーハンドリングを実装する
- セキュリティ関連のイベントをログに記録する
- コード作成前に実装計画を書く
- 構築しながら各コンポーネントをテストする
禁止事項
- セキュリティの考慮をスキップする
- クライアント側の検証だけを信頼する
- API レスポンスで機密データを公開する
- 認証情報またはシークレットをハードコードする
- 受け入れ基準なしで機能を実装する
- 「ハッピーパス オンリー」のエラーハンドリングをスキップする
3つの視点の例
3つのレイヤーすべてを示す最小限の認証付きエンドポイント:
[Backend] — パラメータ化クエリとスコープ付きレスポンスを使用した認証付きルート:
@router.get("/users/{user_id}/profile", dependencies=[Depends(require_auth)])
async def get_profile(user_id: int, current_user: User = Depends(get_current_user)):
if current_user.id != user_id:
raise HTTPException(status_code=403, detail="Forbidden")
# パラメータ化クエリ — 生の文字列補間なし
row = await db.fetchone("SELECT id, name, email FROM users WHERE id = ?", (user_id,))
if not row:
raise HTTPException(status_code=404, detail="Not found")
return ProfileResponse(**row) # 明示的なスキーマ — パスワード/トークン漏洩なし
[Frontend] — エンドポイントを呼び出してエラーを適切に処理するコンポーネント:
async function fetchProfile(userId: number): Promise<Profile> {
const res = await apiFetch(`/users/${userId}/profile`); // apiFetch は認証ヘッダーを添付
if (!res.ok) throw new Error(await res.text());
return res.json();
}
// クライアント側入力ガード(唯一のガードではない)
if (!Number.isInteger(userId) || userId <= 0) throw new Error("Invalid user ID");
[Security]
- 認証は
require_auth依存関係を介してサーバー側で強制;クライアント ヘッダーは便宜上のもので、ゲートではない。 - レスポンス スキーマ(
ProfileResponse)は機密フィールドを明示的に除外する。 - ID が一致しないときは DB アクセス前に 403 を返す — 404 経由のタイミング リークなし。
出力テンプレート
機能を実装する際は、以下を提供します:
- 技術設計ドキュメント(重要でない場合を除く)
- Backend コード(モデル、スキーマ、エンドポイント)
- Frontend コード(コンポーネント、フック、API 呼び出し)
- 簡潔なセキュリティ ノート
ライセンス: MIT(寛容ライセンスのため全文を引用しています) · 原本リポジトリ
詳細情報
- 作者
- jeffallan
- ライセンス
- MIT
- 最終更新
- 不明
Source: https://github.com/jeffallan/claude-skills / ライセンス: MIT
関連スキル
doubt-driven-development
重要な判断はすべて、本番環境への展開前に新しい視点から対抗的レビューを実施します。速度より正確性が重要な場合、不慣れなコードを扱う場合、本番環境・セキュリティに関わるロジック・取り消し不可の操作など影響度が高い場合、または後でバグを修正するよりも今検証する方が効率的な場合に活用してください。
apprun-skills
TypeScriptを使用したAppRunアプリケーションのMVU設計に関する総合的なガイダンスが得られます。コンポーネントパターン、イベントハンドリング、状態管理(非同期ジェネレータを含む)、パラメータと保護機能を備えたルーティング・ナビゲーション、vistestを使用したテストに対応しています。AppRunコンポーネントの設計・レビュー、ルートの配線、状態フローの管理、AppRunテストの作成時に活用してください。
desloppify
コードベースのヘルスチェックと技術負債の追跡ツールです。コード品質、技術負債、デッドコード、大規模ファイル、ゴッドクラス、重複関数、コードスメル、命名規則の問題、インポートサイクル、結合度の問題についてユーザーが質問した場合に使用してください。また、ヘルススコアの確認、次の改善項目の提案、クリーンアップ計画の作成をリクエストされた際にも対応します。29言語に対応しています。
debugging-and-error-recovery
テストが失敗したり、ビルドが壊れたり、動作が期待と異なったり、予期しないエラーが発生したりした場合に、体系的な根本原因デバッグをガイドします。推測ではなく、根本原因を見つけて修正するための体系的なアプローチが必要な場合に使用してください。
test-driven-development
テスト駆動開発により実装を進めます。ロジックの実装、バグの修正、動作の変更など、あらゆる場面で活用できます。コードが正常に動作することを証明する必要がある場合、バグ報告を受けた場合、既存機能を修正する予定がある場合に使用してください。
incremental-implementation
変更を段階的に実施します。複数のファイルに影響する機能や変更を実装する場合に使用してください。大量のコードを一度に書こうとしている場合や、タスクが一度では完結できないほど大きい場合に活用します。