workspace-surface-audit
アクティブなリポジトリ、MCPサーバー、プラグイン、コネクター、環境サーフェス、ツール設定を監査し、最も価値の高いECCネイティブスキル・フック・エージェント・オペレーターワークフローを推薦します。Claude Codeのセットアップ支援を求めているユーザーや、自分の環境で実際に利用可能な機能を把握したいユーザーに対して使用します。
description の原文を見る
审计活跃仓库、MCP服务器、插件、连接器、环境表面和工具设置,然后推荐最高价值的ECC原生技能、钩子、代理和操作员工作流。当用户希望帮助设置Claude Code或了解其环境中实际可用的功能时使用。
SKILL.md 本文
ワークスペース表面監査
読み取り専用監査スキル。「このワークスペースとマシンは現在実際に何ができるのか、次に何を追加または有効にすべきか」という質問に答えます。
これは、ECC がセットアップ監査プラグインの要件に応える方法です。ユーザーが明示的に後続の実装を要求しない限り、ファイルは変更されません。
使用時機
- ユーザーが「Claude Code をセットアップする」「自動化を推奨する」「どのプラグインまたは MCP を使うべきか」または「何が不足しているか」と言った場合
- より多くのスキル、フック、またはコネクタをインストールする前に、マシンまたはリポジトリを監査する
- 公式マーケットプレイスプラグインと ECC ネイティブカバレッジを比較する
.env、.mcp.json、プラグイン設定、または接続されたアプリ表面を確認し、欠落しているワークフローレイヤーを発見する- ある機能がスキル、フック、エージェント、MCP、または外部コネクタであるべきかを判断する
譲歩できないルール
- シークレット値を絶対に出力しない。プロバイダー名、機能名、ファイルパス、およびキーまたは設定が存在するかどうかのみを表示します。
- ECC が表面を合理的に所有できる場合、汎用の「別のプラグインをインストール」という推奨ではなく、ECC ネイティブワークフローを優先します。
- 外部プラグインをベンチマークとインスピレーションとして扱い、製品の境界の権威として扱わないでください。
- 3 つのことを明確に区別します。
- 現在利用可能なもの
- 利用可能だが ECC で不十分なカプセル化のもの
- 利用不可で新しい統合が必要なもの
監査入力
質問に答えるために必要なファイルと設定のみを確認します。
- リポジトリ表面
package.json、ロックファイル、言語マーカー、フレームワーク設定、README.md.mcp.json、.lsp.json、.claude/settings*.json、.codex/*AGENTS.md、CLAUDE.md、インストール チェックリスト、フック設定
- 環境表面
- アクティブなリポジトリと明らかに隣接する ECC ワークスペース内の
.env*ファイル STRIPE_API_KEY、TWILIO_AUTH_TOKEN、FAL_KEYなどのキー名のみを表示します
- アクティブなリポジトリと明らかに隣接する ECC ワークスペース内の
- 接続ツール表面
- インストール済みプラグイン、有効なコネクタ、MCP サーバー、LSP、アプリケーション統合
- ECC 表面
- ニーズをカバーする既存スキル、コマンド、フック、エージェント、インストールモジュール
監査プロセス
フェーズ 1: 既存内容のインベントリ
簡潔なリストを生成します。
- アクティブなツールチェーン目標
- インストール済みプラグインと接続されたアプリ
- 設定済み MCP サーバー
- 設定済み LSP サーバー
- キー名で暗示されているベースの環境サービス
- ワークスペースに関連する既存 ECC スキル
表面が原始的な形式でのみ存在する場合は、それを指摘します。例えば:
- 「Stripe は接続されたアプリを通じて利用可能ですが、ECC には課金操作スキルがありません」
- 「Google Drive は接続されていますが、ECC はネイティブな Google Workspace 操作ワークフローを持っていません」
フェーズ 2: 公式およびインストール済み表面とのベンチマーク比較
ワークスペースを次と比較します。
- セットアップ、レビュー、ドキュメント、デザイン、またはワークフロー品質と重複する公式 Claude プラグイン
- Claude または Codex にローカルインストールされているプラグイン
- ユーザーが現在接続しているアプリ表面
単に名前をリストしないでください。各比較に対して、次に答えます。
- 実際に何をするのか
- ECC は既に同等の機能を持っているか
- ECC は原始的な形式のみを持っているか
- ECC はこのワークフローを完全に欠いているか
フェーズ 3: ギャップを ECC 決定に変換する
実際のギャップごとに、正しい ECC ネイティブ形式を推奨します。
| ギャップの種類 | 推奨される ECC 形態 |
|---|---|
| 反復可能な操作ワークフロー | スキル |
| 自動実行またはサイドエフェクト | フック |
| 特別な委任役 | エージェント |
| 外部ツール ブリッジング | MCP サーバーまたはコネクタ |
| インストール/オンボーディングガイド | セットアップまたは監査スキル |
要件が基盤ではなく操作的である場合、既存のツールを統合するための利用者向けスキルをデフォルトにします。
出力形式
このシーケンスで 5 つのセクションを返します。
- 現在の表面
- 現在利用可能なもの
- 同等の機能
- ECC がベンチマークに合致または超えている場所
- 原始的な形式のみのギャップ
- ツールが存在しますが、ECC には簡潔な操作スキルがありません
- 欠落している統合
- まだ利用できない機能
- 次のアクション上位 3~5 件
- 具体的な ECC ネイティブ追加事項。影響度順に並べます
推奨ルール
- 各カテゴリごとに最大 1~2 個の最高価値のアイデアを推奨します。
- 明らかなユーザー意図とビジネス価値を持つスキルを優先します。
- セットアップ監査
- 課金/カスタマー運用
- 問題/プロジェクト運用
- Google Workspace 運用
- デプロイ/オペレーション制御
- コネクタが企業固有の場合は、実際に利用可能またはユーザーワークフローに明らかに有用な場合のみ推奨します。
- ECC が既に強力な原始的な形式を持っている場合は、新しいサブシステムを発明するのではなく、スキルをカプセル化することを提案します。
良好な結果
- ユーザーは接続されたもの、欠落しているもの、ECC が次に所有すべきものを即座に確認できます。
- 推奨事項は十分に具体的で、リポジトリで実装するために再発見は不要です。
- 最終回答は API ブランドではなくワークフローを中心に構成されています。
ライセンス: MIT(寛容ライセンスのため全文を引用しています) · 原本リポジトリ
詳細情報
- 作者
- affaan-m
- ライセンス
- MIT
- 最終更新
- 不明
Source: https://github.com/affaan-m/everything-claude-code / ライセンス: MIT
関連スキル
secure-code-guardian
認証・認可の実装、ユーザー入力の保護、OWASP Top 10の脆弱性対策が必要な場合に使用します。bcrypt/argon2によるパスワードハッシング、パラメータ化ステートメントによるSQLインジェクション対策、CORS/CSPヘッダーの設定、Zodによる入力検証、JWTトークンの構築などのカスタムセキュリティ実装に対応します。認証、認可、入力検証、暗号化、OWASP Top 10対策、セッション管理、セキュリティ強化全般で活用できます。ただし、構築済みのOAuth/SSO統合や単独のセキュリティ監査が必要な場合は、より特化したスキルの検討をお勧めします。
claude-authenticity
APIエンドポイントが本物のClaudeによって支えられているか(ラッパーやプロキシ、偽装ではないか)を、claude-verifyプロジェクトを模した9つの重み付きルールベースチェックで検証できます。また、Claudeの正体を上書きしているプロバイダーから注入されたシステムプロンプトも抽出します。完全に自己完結しており、httpx以外の追加パッケージは不要です。Claude APIキーまたはエンドポイントを検証したい場合、サードパーティのClaudeサービスが本物か確認したい場合、APIプロバイダーのClaude正当性を監査したい場合、複数モデルを並行してテストしたい場合、またはプロバイダーが注入したシステムプロンプトを特定したい場合に使用できます。
anth-security-basics
Anthropic Claude APIのセキュリティベストプラクティスを適用し、キー管理、入力値の検証、プロンプトインジェクション対策を実施します。APIキーの保護、Claudeに送信する前のユーザー入力検証、コンテンツセーフティガードレールの実装が必要な場合に活用できます。「anthropic security」「claude api key security」「secure anthropic」「prompt injection defense」といったフレーズでトリガーされます。
x-ray
x-ray.mdプレ監査レポートを生成します。概要、強化された脅威モデル(プロトコルタイプのプロファイリング、Gitの重み付け攻撃面分析、時間軸リスク分析、コンポーザビリティ依存関係マッピング)、不変条件、統合、ドキュメント品質、テスト分析、開発者・Gitの履歴をカバーしています。「x-ray」「audit readiness」「readiness report」「pre-audit report」「prep this protocol」「protocol prep」「summarize this protocol」のキーワードで実行されます。
semgrep
Semgrepスタティック分析スキャンを実行し、カスタム検出ルールを作成します。Semgrepでのコードスキャン、セキュリティ脆弱性の検出、カスタムYAMLルールの作成、または特定のバグパターンの検出が必要な場合に使用します。重要:ユーザーが「バグをスキャンしたい」「コード品質を確認したい」「脆弱性を見つけたい」「スタティック分析」「セキュリティlint」「コード監査」または「コーディング標準を適用したい」と尋ねた場合も、Semgrepという名称を明記していなくても、このスキルを使用してください。Semgrepは30以上の言語に対応したパターンベースのコードスキャンに最適なツールです。
ghost-bits-cast-attack
Java「ゴーストビッツ」/キャストアタック プレイブック(Black Hat Asia 2026)。16ビット文字が8ビットバイトに暗黙的に縮小されるJavaサービスへの攻撃時に使用します。WAF/IDSを回避して、SQLインジェクション、デシリアライゼーション型RCE、ファイルアップロード(Webシェル)、パストトラバーサル、CRLF インジェクション、リクエストスマグリング、SMTPインジェクションを実行できます。Tomcat、Spring、Jetty、Undertow、Vert.x、Jackson、Fastjson、Apache Commons BCEL、Apache HttpClient、Angus Mail、JDK HttpServer、Lettuce、Jodd、XMLWriterに影響し、WAFバイパスにより多くの「パッチ済み」CVEを再度有効化します。