spring-boot
Spring Bootアプリケーション開発に関する専門的なガイダンスを提供し、RESTful API設計、テスト、セキュリティ、デプロイのベストプラクティスをカバーします。
description の原文を見る
Expert guidance for Spring Boot application development with best practices for RESTful APIs, testing, security, and deployment
SKILL.md 本文
Spring Boot
Java プログラミング、Spring Boot、Spring Framework、Maven、JUnit、および関連する Java テクノロジーの専門家です。
コードスタイルと構造
- Spring Boot の規約に従い、クリーンで効率的かつ適切にドキュメント化された Java コードを記述する
- Web サービスに対して RESTful API デザインパターンに従う
- camelCase 規約に従って説明的なメソッド名と変数名を使用する
- 一貫したパッケージ構成(controllers、services、repositories、models、configurations)でアプリケーションを構成する
Spring Boot の具体的な使い方
- Spring Boot starters を活用して迅速なアプリケーション開発を行う
- auto-configuration を効果的に利用してボイラープレートコードを最小化する
- 適切なアノテーション(@SpringBootApplication、@RestController、@Service、@Repository)を実装する
- @ControllerAdvice と @ExceptionHandler を使用して例外をグローバルに処理する
命名規則
- クラス名に PascalCase を使用する(例:UserController、OrderService)
- メソッド名と変数名に camelCase を使用する(例:findUserById、isOrderValid)
- 定数に ALL_CAPS を使用する(例:MAX_RETRY_ATTEMPTS、DEFAULT_PAGE_SIZE)
Java と Spring Boot の使用方法
- 該当する場合は Java 17 以降の機能を使用する(例:records、sealed classes、pattern matching)
- Spring Boot 3.x の機能と特性を活用する
- Spring Data JPA を使用してデータベース操作を実施し、適切なエンティティ関係を構築する
- Jakarta Validation アノテーションを使用して Bean Validation を実装する
設定とプロパティ
- application.properties または application.yml に設定を保存する
- @Value または @ConfigurationProperties を使用してタイプセーフな設定注入を行う
- Spring Profiles(dev、test、prod)を使用して環境固有の設定を実装する
依存性注入
- テスト性を高めるためにフィールド注入よりもコンストラクタ注入を優先する
- CDI アノテーション(@Autowired、@Qualifier)を適切に使用する
- インターフェースへのプログラミング原則に従う
テスト
- JUnit 5 と Spring Boot Test を使用して包括的なユニットテストを記述する
- REST エンドポイントと Web レイヤーコンポーネントのテストに MockMvc を使用する
- @SpringBootTest で統合テストを実装する
- リポジトリレイヤーのテストに @DataJpaTest を使用する
- データベース統合テストに Testcontainers を活用する
パフォーマンスとスケーラビリティ
- Spring Cache abstraction を使用してキャッシング戦略を実装する
- 非同期で非ブロッキングな操作に @Async を使用する
- 適切なインデックスとフェッチ戦略を使用してデータベースクエリを最適化する
- HikariCP を使用したコネクションプーリングを検討する
セキュリティ
- 認証と認可に Spring Security を実装する
- パスワード暗号化に BCrypt を使用する
- Web アプリケーション用に CORS 設定を適切に構成する
- インジェクション攻撃を防ぐために適切な入力検証を実装する
ロギングと監視
- SLF4J と Logback を使用した構造化ロギングを使用する
- 適切なログレベル(ERROR、WARN、INFO、DEBUG)を実装する
- Spring Boot Actuator を活用してヘルスチェック、メトリクス、監視を実施する
- 監視ツール(Prometheus、Grafana)と統合する
API ドキュメンテーション
- Springdoc OpenAPI を使用して包括的な API ドキュメンテーションを実施する
- エンドポイント、パラメータ、レスポンスに対して詳細なアノテーションを提供する
- Swagger UI で対話的な API ドキュメンテーションを生成する
ビルドとデプロイ
- 依存関係管理とビルドに Maven または Gradle を使用する
- 最適化されたコンテナイメージのためにマルチステージ Docker ビルドを実装する
- 自動テストとデプロイメントのために CI/CD パイプラインを構成する
- センシティブな設定に環境変数を使用する
一般的なベストプラクティス
- 適切な HTTP メソッドと状態コードを用いた RESTful API デザイン原則に従う
- 必要に応じてマイクロサービスアーキテクチャ向けに設計する
- クリーンで保守しやすいコードのために SOLID 原則に従う
- コンポーネント内の高い凝集度と低結合度を維持する
- 意味のあるエラーレスポンスを備えた適切なエラーハンドリングを実装する
ライセンス: Apache-2.0(寛容ライセンスのため全文を引用しています) · 原本リポジトリ
詳細情報
- 作者
- mindrally
- リポジトリ
- mindrally/skills
- ライセンス
- Apache-2.0
- 最終更新
- 不明
Source: https://github.com/mindrally/skills / ライセンス: Apache-2.0
関連スキル
secure-code-guardian
認証・認可の実装、ユーザー入力の保護、OWASP Top 10の脆弱性対策が必要な場合に使用します。bcrypt/argon2によるパスワードハッシング、パラメータ化ステートメントによるSQLインジェクション対策、CORS/CSPヘッダーの設定、Zodによる入力検証、JWTトークンの構築などのカスタムセキュリティ実装に対応します。認証、認可、入力検証、暗号化、OWASP Top 10対策、セッション管理、セキュリティ強化全般で活用できます。ただし、構築済みのOAuth/SSO統合や単独のセキュリティ監査が必要な場合は、より特化したスキルの検討をお勧めします。
claude-authenticity
APIエンドポイントが本物のClaudeによって支えられているか(ラッパーやプロキシ、偽装ではないか)を、claude-verifyプロジェクトを模した9つの重み付きルールベースチェックで検証できます。また、Claudeの正体を上書きしているプロバイダーから注入されたシステムプロンプトも抽出します。完全に自己完結しており、httpx以外の追加パッケージは不要です。Claude APIキーまたはエンドポイントを検証したい場合、サードパーティのClaudeサービスが本物か確認したい場合、APIプロバイダーのClaude正当性を監査したい場合、複数モデルを並行してテストしたい場合、またはプロバイダーが注入したシステムプロンプトを特定したい場合に使用できます。
anth-security-basics
Anthropic Claude APIのセキュリティベストプラクティスを適用し、キー管理、入力値の検証、プロンプトインジェクション対策を実施します。APIキーの保護、Claudeに送信する前のユーザー入力検証、コンテンツセーフティガードレールの実装が必要な場合に活用できます。「anthropic security」「claude api key security」「secure anthropic」「prompt injection defense」といったフレーズでトリガーされます。
x-ray
x-ray.mdプレ監査レポートを生成します。概要、強化された脅威モデル(プロトコルタイプのプロファイリング、Gitの重み付け攻撃面分析、時間軸リスク分析、コンポーザビリティ依存関係マッピング)、不変条件、統合、ドキュメント品質、テスト分析、開発者・Gitの履歴をカバーしています。「x-ray」「audit readiness」「readiness report」「pre-audit report」「prep this protocol」「protocol prep」「summarize this protocol」のキーワードで実行されます。
semgrep
Semgrepスタティック分析スキャンを実行し、カスタム検出ルールを作成します。Semgrepでのコードスキャン、セキュリティ脆弱性の検出、カスタムYAMLルールの作成、または特定のバグパターンの検出が必要な場合に使用します。重要:ユーザーが「バグをスキャンしたい」「コード品質を確認したい」「脆弱性を見つけたい」「スタティック分析」「セキュリティlint」「コード監査」または「コーディング標準を適用したい」と尋ねた場合も、Semgrepという名称を明記していなくても、このスキルを使用してください。Semgrepは30以上の言語に対応したパターンベースのコードスキャンに最適なツールです。
ghost-bits-cast-attack
Java「ゴーストビッツ」/キャストアタック プレイブック(Black Hat Asia 2026)。16ビット文字が8ビットバイトに暗黙的に縮小されるJavaサービスへの攻撃時に使用します。WAF/IDSを回避して、SQLインジェクション、デシリアライゼーション型RCE、ファイルアップロード(Webシェル)、パストトラバーサル、CRLF インジェクション、リクエストスマグリング、SMTPインジェクションを実行できます。Tomcat、Spring、Jetty、Undertow、Vert.x、Jackson、Fastjson、Apache Commons BCEL、Apache HttpClient、Angus Mail、JDK HttpServer、Lettuce、Jodd、XMLWriterに影響し、WAFバイパスにより多くの「パッチ済み」CVEを再度有効化します。