security-scanning-security-hardening
アプリケーション、インフラ、コンプライアンス管理にわたる多層的なセキュリティスキャンと堅牢化を統合的に調整します。セキュリティ上の脆弱性を包括的に検出・修正し、各レイヤーの防御を強化したい場面で活用できます。
description の原文を見る
Coordinate multi-layer security scanning and hardening across application, infrastructure, and compliance controls.
SKILL.md 本文
防御多層化戦略によって、マルチエージェント協調を通じた包括的なセキュリティ強化を実装します:
[Extended thinking: このワークフローは、すべてのアプリケーションレイヤーを対象とした防御多層化セキュリティ戦略を実装します。特殊化されたセキュリティエージェントを協調させて、包括的な評価の実行、階層化されたセキュリティコントロールの実装、継続的なセキュリティ監視の確立を行います。このアプローチは、シフトレフトセキュリティ、自動スキャン、コンプライアンス検証を含む最新のDevSecOps原則に従います。各フェーズは以前の調査結果を基に構築され、現在の脆弱性と将来の脅威の両方に対応する耐性のあるセキュリティ態勢を確立します。]
このスキルを使用する場合
- 協調的なセキュリティ強化プログラムを実行している
- アプリ、インフラ、CI/CDを通じた防御多層化コントロールを確立している
- スキャンと脅威モデリングからの改善を優先付けしている
このスキルを使用しない場合
- 改善作業なしで迅速なスキャンのみが必要な場合
- セキュリティテストまたは変更の認可がない場合
- 環境が侵襲的なセキュリティコントロールに耐えられない場合
手順
- フェーズ1を実行してセキュリティベースラインを確立します。
- フェーズ2の改善を高リスク問題に適用します。
- フェーズ3のコントロールを実装して防御を検証します。
- フェーズ4の検証とコンプライアンスチェックを完了します。
安全性
- 承認なしで本番環境での侵襲的なテストを避けます。
- 強化変更前にロールバック計画が存在することを確認します。
フェーズ1: 包括的なセキュリティ評価
1. 初期脆弱性スキャン
- Task ツールを使用、subagent_type="security-auditor"
- プロンプト: "Perform comprehensive security assessment on: $ARGUMENTS. Execute SAST analysis with Semgrep/SonarQube, DAST scanning with OWASP ZAP, dependency audit with Snyk/Trivy, secrets detection with GitLeaks/TruffleHog. Generate SBOM for supply chain analysis. Identify OWASP Top 10 vulnerabilities, CWE weaknesses, and CVE exposures."
- 出力: CVSSスコア、悪用可能性分析、攻撃面マッピング、シークレット公開レポート、SBOMインベントリを備えた詳細な脆弱性レポート
- コンテキスト: すべての改善活動のための初期ベースライン
2. 脅威モデリングとリスク分析
- Task ツールを使用、subagent_type="security-auditor"
- プロンプト: "Conduct threat modeling using STRIDE methodology for: $ARGUMENTS. Analyze attack vectors, create attack trees, assess business impact of identified vulnerabilities. Map threats to MITRE ATT&CK framework. Prioritize risks based on likelihood and impact."
- 出力: 脅威モデル図、優先付けされた脆弱性のリスクマトリックス、攻撃シナリオドキュメント、ビジネスインパクト分析
- コンテキスト: 脆弱性スキャン結果を使用して脅威優先度を通知
3. アーキテクチャセキュリティレビュー
- Task ツールを使用、subagent_type="backend-api-security::backend-architect"
- プロンプト: "Review architecture for security weaknesses in: $ARGUMENTS. Evaluate service boundaries, data flow security, authentication/authorization architecture, encryption implementation, network segmentation. Design zero-trust architecture patterns. Reference threat model and vulnerability findings."
- 出力: セキュリティアーキテクチャ評価、ゼロトラストデザイン推奨事項、サービスメッシュセキュリティ要件、データ分類マトリックス
- コンテキスト: 脅威モデルを組み込んでアーキテクチャ脆弱性に対応
フェーズ2: 脆弱性改善
4. 重大脆弱性の修正
- Task ツールを使用、subagent_type="security-auditor"
- プロンプト: "Coordinate immediate remediation of critical vulnerabilities (CVSS 7+) in: $ARGUMENTS. Fix SQL injections with parameterized queries, XSS with output encoding, authentication bypasses with secure session management, insecure deserialization with input validation. Apply security patches for CVEs."
- 出力: 脆弱性修正が施されたパッチコード、セキュリティパッチドキュメント、リグレッションテスト要件
- コンテキスト: 脆弱性評価からの高優先度アイテムに対応
5. バックエンドセキュリティ強化
- Task ツールを使用、subagent_type="backend-api-security::backend-security-coder"
- プロンプト: "Implement comprehensive backend security controls for: $ARGUMENTS. Add input validation with OWASP ESAPI, implement rate limiting and DDoS protection, secure API endpoints with OAuth2/JWT validation, add encryption for data at rest/transit using AES-256/TLS 1.3. Implement secure logging without PII exposure."
- 出力: 強化されたAPIエンドポイント、検証ミドルウェア、暗号化実装、セキュアな設定テンプレート
- コンテキスト: 脆弱性修正に予防的コントロールを追加
6. フロントエンドセキュリティ実装
- Task ツールを使用、subagent_type="frontend-mobile-security::frontend-security-coder"
- プロンプト: "Implement frontend security measures for: $ARGUMENTS. Configure CSP headers with nonce-based policies, implement XSS prevention with DOMPurify, secure authentication flows with PKCE OAuth2, add SRI for external resources, implement secure cookie handling with SameSite/HttpOnly/Secure flags."
- 出力: セキュアなフロントエンドコンポーネント、CSPポリシー設定、認証フロー実装、セキュリティヘッダー設定
- コンテキスト: クライアント側の保護によるバックエンドセキュリティの補完
7. モバイルセキュリティ強化
- Task ツールを使用、subagent_type="frontend-mobile-security::mobile-security-coder"
- プロンプト: "Implement mobile app security for: $ARGUMENTS. Add certificate pinning, implement biometric authentication, secure local storage with encryption, obfuscate code with ProGuard/R8, implement anti-tampering and root/jailbreak detection, secure IPC communications."
- 出力: 強化されたモバイルアプリケーション、セキュリティ設定ファイル、難読化ルール、証明書ピニング実装
- コンテキスト: 該当する場合、セキュリティをモバイルプラットフォームに拡張
フェーズ3: セキュリティコントロール実装
8. 認証と認可の強化
- Task ツールを使用、subagent_type="security-auditor"
- プロンプト: "Implement modern authentication system for: $ARGUMENTS. Deploy OAuth2/OIDC with PKCE, implement MFA with TOTP/WebAuthn/FIDO2, add risk-based authentication, implement RBAC/ABAC with principle of least privilege, add session management with secure token rotation."
- 出力: 認証サービス設定、MFA実装、認可ポリシー、セッション管理システム
- コンテキスト: アーキテクチャレビューに基づきアクセスコントロールを強化
9. インフラストラクチャセキュリティコントロール
- Task ツールを使用、subagent_type="deployment-strategies::deployment-engineer"
- プロンプト: "Deploy infrastructure security controls for: $ARGUMENTS. Configure WAF rules for OWASP protection, implement network segmentation with micro-segmentation, deploy IDS/IPS systems, configure cloud security groups and NACLs, implement DDoS protection with rate limiting and geo-blocking."
- 出力: WAF設定、ネットワークセキュリティポリシー、IDS/IPSルール、クラウドセキュリティ設定
- コンテキスト: ネットワークレベルの防御を実装
10. シークレット管理実装
- Task ツールを使用、subagent_type="deployment-strategies::deployment-engineer"
- プロンプト: "Implement enterprise secrets management for: $ARGUMENTS. Deploy HashiCorp Vault or AWS Secrets Manager, implement secret rotation policies, remove hardcoded secrets, configure least-privilege IAM roles, implement encryption key management with HSM support."
- 出力: シークレット管理設定、ローテーションポリシー、IAMロール定義、鍵管理手順
- コンテキスト: シークレット公開脆弱性を排除
フェーズ4: 検証とコンプライアンス
11. ペネトレーションテストと検証
- Task ツールを使用、subagent_type="security-auditor"
- プロンプト: "Execute comprehensive penetration testing for: $ARGUMENTS. Perform authenticated and unauthenticated testing, API security testing, business logic testing, privilege escalation attempts. Use Burp Suite, Metasploit, and custom exploits. Validate all security controls effectiveness."
- 出力: ペネトレーションテストレポート、PoC悪用コード、改善検証、セキュリティコントロール有効性メトリクス
- コンテキスト: 実装されたすべてのセキュリティ対策を検証
12. コンプライアンスと標準検証
- Task ツールを使用、subagent_type="security-auditor"
- プロンプト: "Verify compliance with security frameworks for: $ARGUMENTS. Validate against OWASP ASVS Level 2, CIS Benchmarks, SOC2 Type II requirements, GDPR/CCPA privacy controls, HIPAA/PCI-DSS if applicable. Generate compliance attestation reports."
- 出力: コンプライアンス評価レポート、ギャップ分析、改善要件、監査証拠収集
- コンテキスト: 規制およびインダストリー標準コンプライアンスを確保
13. セキュリティ監視とSIEM統合
- Task ツールを使用、subagent_type="incident-response::devops-troubleshooter"
- プロンプト: "Implement security monitoring and SIEM for: $ARGUMENTS. Deploy Splunk/ELK/Sentinel integration, configure security event correlation, implement behavioral analytics for anomaly detection, set up automated incident response playbooks, create security dashboards and alerting."
- 出力: SIEM設定、相関ルール、インシデント対応プレイブック、セキュリティダッシュボード、アラート定義
- コンテキスト: 継続的なセキュリティ監視を確立
設定オプション
- scanning_depth: "quick" | "standard" | "comprehensive" (デフォルト: comprehensive)
- compliance_frameworks: ["OWASP", "CIS", "SOC2", "GDPR", "HIPAA", "PCI-DSS"]
- remediation_priority: "cvss_score" | "exploitability" | "business_impact"
- monitoring_integration: "splunk" | "elastic" | "sentinel" | "custom"
- authentication_methods: ["oauth2", "saml", "mfa", "biometric", "passwordless"]
成功基準
- すべての重大脆弱性(CVSS 7+)が改善される
- OWASP Top 10脆弱性に対応
- ペネトレーションテストで高リスク検出なし
- コンプライアンスフレームワーク検証に合格
- セキュリティ監視が脅威を検出・アラート
- 重大アラートの対応時間 < 15分
- SBOMが生成され脆弱性が追跡される
- すべてのシークレットがセキュアコンテナで管理される
- 認証がMFAとセキュアセッション管理を実装
- セキュリティテストがCI/CDパイプラインに統合される
協調に関する注記
- 各フェーズは後続フェーズに通知する詳細な調査結果を提供
- Security-auditorエージェントが修正用の専門エージェントと協調
- すべてのコード変更が実装前にセキュリティレビューを受ける
- 評価と改善間の継続的なフィードバックループ
- セキュリティ調査結果が集中脆弱性管理システムで追跡される
- 実装後の定期的なセキュリティレビューをスケジュール
セキュリティ強化ターゲット: $ARGUMENTS
制限事項
- このスキルは、タスクが上記で説明されたスコープと明確に一致する場合にのみ使用します。
- 出力を環境固有の検証、テスト、または専門家レビューの代替物として扱わないでください。
- 必須入力、権限、安全境界、または成功基準が不足している場合は、停止して明確化を求めてください。
ライセンス: MIT(寛容ライセンスのため全文を引用しています) · 原本リポジトリ
詳細情報
- 作者
- sickn33
- ライセンス
- MIT
- 最終更新
- 不明
Source: https://github.com/sickn33/antigravity-awesome-skills / ライセンス: MIT
関連スキル
secure-code-guardian
認証・認可の実装、ユーザー入力の保護、OWASP Top 10の脆弱性対策が必要な場合に使用します。bcrypt/argon2によるパスワードハッシング、パラメータ化ステートメントによるSQLインジェクション対策、CORS/CSPヘッダーの設定、Zodによる入力検証、JWTトークンの構築などのカスタムセキュリティ実装に対応します。認証、認可、入力検証、暗号化、OWASP Top 10対策、セッション管理、セキュリティ強化全般で活用できます。ただし、構築済みのOAuth/SSO統合や単独のセキュリティ監査が必要な場合は、より特化したスキルの検討をお勧めします。
claude-authenticity
APIエンドポイントが本物のClaudeによって支えられているか(ラッパーやプロキシ、偽装ではないか)を、claude-verifyプロジェクトを模した9つの重み付きルールベースチェックで検証できます。また、Claudeの正体を上書きしているプロバイダーから注入されたシステムプロンプトも抽出します。完全に自己完結しており、httpx以外の追加パッケージは不要です。Claude APIキーまたはエンドポイントを検証したい場合、サードパーティのClaudeサービスが本物か確認したい場合、APIプロバイダーのClaude正当性を監査したい場合、複数モデルを並行してテストしたい場合、またはプロバイダーが注入したシステムプロンプトを特定したい場合に使用できます。
anth-security-basics
Anthropic Claude APIのセキュリティベストプラクティスを適用し、キー管理、入力値の検証、プロンプトインジェクション対策を実施します。APIキーの保護、Claudeに送信する前のユーザー入力検証、コンテンツセーフティガードレールの実装が必要な場合に活用できます。「anthropic security」「claude api key security」「secure anthropic」「prompt injection defense」といったフレーズでトリガーされます。
x-ray
x-ray.mdプレ監査レポートを生成します。概要、強化された脅威モデル(プロトコルタイプのプロファイリング、Gitの重み付け攻撃面分析、時間軸リスク分析、コンポーザビリティ依存関係マッピング)、不変条件、統合、ドキュメント品質、テスト分析、開発者・Gitの履歴をカバーしています。「x-ray」「audit readiness」「readiness report」「pre-audit report」「prep this protocol」「protocol prep」「summarize this protocol」のキーワードで実行されます。
semgrep
Semgrepスタティック分析スキャンを実行し、カスタム検出ルールを作成します。Semgrepでのコードスキャン、セキュリティ脆弱性の検出、カスタムYAMLルールの作成、または特定のバグパターンの検出が必要な場合に使用します。重要:ユーザーが「バグをスキャンしたい」「コード品質を確認したい」「脆弱性を見つけたい」「スタティック分析」「セキュリティlint」「コード監査」または「コーディング標準を適用したい」と尋ねた場合も、Semgrepという名称を明記していなくても、このスキルを使用してください。Semgrepは30以上の言語に対応したパターンベースのコードスキャンに最適なツールです。
ghost-bits-cast-attack
Java「ゴーストビッツ」/キャストアタック プレイブック(Black Hat Asia 2026)。16ビット文字が8ビットバイトに暗黙的に縮小されるJavaサービスへの攻撃時に使用します。WAF/IDSを回避して、SQLインジェクション、デシリアライゼーション型RCE、ファイルアップロード(Webシェル)、パストトラバーサル、CRLF インジェクション、リクエストスマグリング、SMTPインジェクションを実行できます。Tomcat、Spring、Jetty、Undertow、Vert.x、Jackson、Fastjson、Apache Commons BCEL、Apache HttpClient、Angus Mail、JDK HttpServer、Lettuce、Jodd、XMLWriterに影響し、WAFバイパスにより多くの「パッチ済み」CVEを再度有効化します。