scanning-container-security
セキュリティとコンプライアンスの対応が必要な場合に活用できます。このスキルはセキュリティスキャンと脆弱性検出を実施し、包括的なガイダンスと自動化を提供します。「脆弱性をスキャンしてほしい」「セキュリティ対策を実装したい」「セキュリティ監査を実施したい」といった指示で起動できます。
description の原文を見る
Execute use when you need to work with security and compliance. This skill provides security scanning and vulnerability detection with comprehensive guidance and automation. Trigger with phrases like "scan for vulnerabilities", "implement security controls", or "audit security".
SKILL.md 本文
コンテナセキュリティスキャナー
このスキルは、コンテナセキュリティスキャナーのタスクに対する自動化されたサポートを提供します。
前提条件
このスキルを使用する前に、以下を確認してください:
- 操作に必要な認証情報とパーミッション
- システムアーキテクチャと依存関係の理解
- 構造的変更を加える前の重要データのバックアップ
- 関連するドキュメントと設定ファイルへのアクセス
- 可視化のために構成された監視ツール
- テスト用の開発環境またはステージング環境
手順
ステップ 1: 現状の評価
- 現在の設定、セットアップ、およびベースラインメトリクスを確認する
- 特定の要件、目標、および制約を特定する
- 既存のパターン、問題、および課題を文書化する
- 依存関係と統合ポイントを分析する
- 進行前にすべての前提条件が満たされていることを検証する
ステップ 2: ソリューションの設計
- ベストプラクティスに基づいて最適なアプローチを定義する
- 明確なステップを含む詳細な実装計画を作成する
- 潜在的なリスクと軽減戦略を特定する
- 予想される結果と成功基準を文書化する
- 必要に応じてチームまたはステークホルダーと計画をレビューする
ステップ 3: 変更の実装
- 非本番環境で最初に実装を実行する
- 徹底的なテストで変更が期待通りに機能することを検証する
- 問題、エラー、またはパフォーマンス影響を監視する
- すべての変更、決定、および構成を文書化する
- ロールバック計画と復旧手順を準備する
ステップ 4: 実装の検証
- すべての機能を検証するための包括的なテストを実行する
- パフォーマンスメトリクスをベースラインと比較する
- 意図しない副作用やリグレッションがないことを確認する
- すべての関連ドキュメントを更新する
- 本番環境へのデプロイ前に承認を得る
ステップ 5: 本番環境へのデプロイ
- 適切なメンテナンスウィンドウ中にデプロイをスケジュールする
- リアルタイム監視で実装を実行する
- 問題または異常がないか注視する
- デプロイメントと機能が正常に完了したことを検証する
- 完了、メトリクス、および教訓を文書化する
出力
このスキルは以下を生成します:
実装成果物: スクリプト、設定ファイル、コード、およびオートメーションツール
ドキュメント: 変更、手順、およびアーキテクチャの包括的なドキュメント
テスト結果: 検証レポート、テストカバレッジ、および品質メトリクス
監視構成: ダッシュボード、アラート、メトリクス、および可視化セットアップ
ランブック: メンテナンス、トラブルシューティング、およびインシデント対応の運用手順
エラーハンドリング
パーミッションとアクセスの問題:
- すべての操作の認証情報とパーミッションを検証する
- 特定のタスクで必要に応じて上位のアクセスを要求する
- オートメーション向けのすべてのパーミッション要件を文書化する
- 特権操作に対して別のサービスアカウントを使用する
- 最小権限アクセス原則を実装する
接続とネットワークの障害:
- ネットワーク接続、ファイアウォール、およびセキュリティグループを確認する
- サービスエンドポイント、DNS解決、およびルーティングを検証する
- 診断およびトラブルシューティングツールを使用して接続をテストする
- ネットワークポリシー、ACL、およびセキュリティ構成をレビューする
- 指数バックオフによる再試行ロジックを実装する
リソース制約:
- リソース使用量(CPU、メモリ、ディスク、ネットワーク)を監視する
- スロットリング、レート制限、またはキューメカニズムを実装する
- リソース集約的なタスクをトラフィックが少ない時間帯にスケジュールする
- 継続的に制限に達している場合はインフラリソースをスケーリングする
- 効率を高めるためにクエリ、コード、または構成を最適化する
構成と構文エラー:
- 変更を適用する前にすべての構成構文を検証する
- 非本番環境で最初に構成を徹底的にテストする
- 自動化された構成検証チェックを実装する
- すべての構成ファイルのバージョン管理を保持する
- 迅速なロールバック用に以前の動作中の構成を保持する
リソース
構成テンプレート: {baseDir}/templates/container-security-scanner/
ドキュメントとガイド: {baseDir}/docs/container-security-scanner/
スクリプトとコード例: {baseDir}/examples/container-security-scanner/
トラブルシューティングガイド: {baseDir}/docs/container-security-scanner-troubleshooting.md
ベストプラクティス: {baseDir}/docs/container-security-scanner-best-practices.md
監視セットアップ: {baseDir}/monitoring/container-security-scanner-dashboard.json
概要
このスキルは、説明された機能に対する自動化されたサポートを提供します。
例
使用例のパターンは、コンテキスト内で実演されます。
ライセンス: MIT(寛容ライセンスのため全文を引用しています) · 原本リポジトリ
詳細情報
- 作者
- Brmbobo
- リポジトリ
- Brmbobo/Web2podcast
- ライセンス
- MIT
- 最終更新
- 2026/1/26
Source: https://github.com/Brmbobo/Web2podcast / ライセンス: MIT
関連スキル
secure-code-guardian
認証・認可の実装、ユーザー入力の保護、OWASP Top 10の脆弱性対策が必要な場合に使用します。bcrypt/argon2によるパスワードハッシング、パラメータ化ステートメントによるSQLインジェクション対策、CORS/CSPヘッダーの設定、Zodによる入力検証、JWTトークンの構築などのカスタムセキュリティ実装に対応します。認証、認可、入力検証、暗号化、OWASP Top 10対策、セッション管理、セキュリティ強化全般で活用できます。ただし、構築済みのOAuth/SSO統合や単独のセキュリティ監査が必要な場合は、より特化したスキルの検討をお勧めします。
claude-authenticity
APIエンドポイントが本物のClaudeによって支えられているか(ラッパーやプロキシ、偽装ではないか)を、claude-verifyプロジェクトを模した9つの重み付きルールベースチェックで検証できます。また、Claudeの正体を上書きしているプロバイダーから注入されたシステムプロンプトも抽出します。完全に自己完結しており、httpx以外の追加パッケージは不要です。Claude APIキーまたはエンドポイントを検証したい場合、サードパーティのClaudeサービスが本物か確認したい場合、APIプロバイダーのClaude正当性を監査したい場合、複数モデルを並行してテストしたい場合、またはプロバイダーが注入したシステムプロンプトを特定したい場合に使用できます。
anth-security-basics
Anthropic Claude APIのセキュリティベストプラクティスを適用し、キー管理、入力値の検証、プロンプトインジェクション対策を実施します。APIキーの保護、Claudeに送信する前のユーザー入力検証、コンテンツセーフティガードレールの実装が必要な場合に活用できます。「anthropic security」「claude api key security」「secure anthropic」「prompt injection defense」といったフレーズでトリガーされます。
x-ray
x-ray.mdプレ監査レポートを生成します。概要、強化された脅威モデル(プロトコルタイプのプロファイリング、Gitの重み付け攻撃面分析、時間軸リスク分析、コンポーザビリティ依存関係マッピング)、不変条件、統合、ドキュメント品質、テスト分析、開発者・Gitの履歴をカバーしています。「x-ray」「audit readiness」「readiness report」「pre-audit report」「prep this protocol」「protocol prep」「summarize this protocol」のキーワードで実行されます。
semgrep
Semgrepスタティック分析スキャンを実行し、カスタム検出ルールを作成します。Semgrepでのコードスキャン、セキュリティ脆弱性の検出、カスタムYAMLルールの作成、または特定のバグパターンの検出が必要な場合に使用します。重要:ユーザーが「バグをスキャンしたい」「コード品質を確認したい」「脆弱性を見つけたい」「スタティック分析」「セキュリティlint」「コード監査」または「コーディング標準を適用したい」と尋ねた場合も、Semgrepという名称を明記していなくても、このスキルを使用してください。Semgrepは30以上の言語に対応したパターンベースのコードスキャンに最適なツールです。
ghost-bits-cast-attack
Java「ゴーストビッツ」/キャストアタック プレイブック(Black Hat Asia 2026)。16ビット文字が8ビットバイトに暗黙的に縮小されるJavaサービスへの攻撃時に使用します。WAF/IDSを回避して、SQLインジェクション、デシリアライゼーション型RCE、ファイルアップロード(Webシェル)、パストトラバーサル、CRLF インジェクション、リクエストスマグリング、SMTPインジェクションを実行できます。Tomcat、Spring、Jetty、Undertow、Vert.x、Jackson、Fastjson、Apache Commons BCEL、Apache HttpClient、Angus Mail、JDK HttpServer、Lettuce、Jodd、XMLWriterに影響し、WAFバイパスにより多くの「パッチ済み」CVEを再度有効化します。