シークレットスキャナー

このスキルはシークレットスキャナータスクの自動化支援を提供します。

概要

このスキルにより、Claude はコードベース内の露出したシークレット、APIキー、パスワード、その他の機密認証情報をスキャンできます。コミットまたはデプロイされる前に、潜在的なセキュリティ脆弱性を特定し、修復するのに役立ちます。

動作方法

1. スキャンの開始: Claude は secret-scanner プラグインをアクティベートします。
2. コードベース分析: プラグインはパターンマッチングとエントロピー分析を使用してコードベースをスキャンします。
3. レポート生成: 特定されたシークレット、その場所、推奨される修復手順を強調した詳細なレポートが生成されます。

このスキルの使用時機

このスキルは以下が必要な場合にアクティベートされます:

• 露出した APIキー (AWS、Google、Azure など) をコードベースでスキャンする。
• 設定ファイル内のハードコードされたパスワードをチェックする。
• リポジトリにうっかりコミットされた秘密鍵 (SSH、PGP) を特定する。
• 変更をコミットする前にシークレットを積極的に検出する。

例

例1: 露出した AWS キーの特定

ユーザーリクエスト: 「コードベースで AWS キーをスキャンしてください」

このスキルは以下を実行します:

1. secret-scanner プラグインをアクティベートする。
2. AWS アクセスキー (AKIA[0-9A-Z]{16}) にマッチするパターンをコードベースでスキャンする。
3. 見つかったキー、ファイルの場所、修復手順 (キーの無効化など) を一覧表示したレポートを生成する。

例2: ハードコードされたパスワードのチェック

ユーザーリクエスト: 「設定ファイルで露出した認証情報をチェックしてください」

このスキルは以下を実行します:

1. secret-scanner プラグインをアクティベートする。
2. database.yml、.env などの設定ファイルをパスワードパターンでスキャンする。
3. 見つかったパスワードを詳細に記載し、環境変数の使用を推奨するレポートを生成する。

ベストプラクティス

• 定期的なスキャン: 新たに導入されたシークレットを検出するため定期的なスキャンをスケジュールする。
• プリコミットフック: シークレットのコミットを防ぐために、secret-scanner をプリコミットフックに統合する。
• エントロピー分析の確認: パターンマッチングで検出されない潜在的なシークレットを示す可能性があるため、エントロピー分析の結果を慎重に確認する。

統合

このスキルは脆弱性スキャナーなどの他のセキュリティツールと統合して、コードベースの包括的なセキュリティ評価を提供できます。また通知プラグインと組み合わせて、新しいシークレットが検出された場合にアラートを送信できます。

前提条件

• {baseDir}/ 内のコードベースと設定ファイルへのアクセス
• 必要に応じてインストールされたセキュリティスキャンツール
• セキュリティ標準とベストプラクティスの理解
• セキュリティ分析操作の権限

手順

1. セキュリティスキャンのスコープとターゲットを特定する
2. スキャンパラメータとしきい値を設定する
3. セキュリティ分析を体系的に実行する
4. 脆弱性とコンプライアンスギャップについての結果を分析する
5. 重大度と影響に基づいて問題を優先順位付けする
6. 修復手順を含む詳細なセキュリティレポートを生成する

出力

• 脆弱性詳細を含むセキュリティスキャン結果
• 標準別のコンプライアンスステータスレポート
• 重大度別に優先順位付けされたセキュリティ問題のリスト
• コード例を含む修復推奨事項
• ステークホルダー向けのエグゼクティブサマリー

エラーハンドリング

セキュリティスキャンが失敗した場合:

• ツールのインストールと設定を確認する
• ファイルとディレクトリの権限を確認する
• スキャンターゲットのパスを検証する
• ツール固有のエラーメッセージを確認する
• 依存関係チェックのネットワークアクセスを確認する

リソース

• セキュリティ標準ドキュメント (OWASP、CWE、CVE)
• コンプライアンスフレームワークガイドライン (GDPR、HIPAA、PCI-DSS)
• セキュリティスキャンツールドキュメント
• 脆弱性修復のベストプラクティス