Security Audit

springboot-security は、認証、認可、バリデーション、CSRF/CORS、シークレット、ヘッダー、レート制限、依存関係チェックまでをカバーする、実践的な Spring Boot セキュリティガイドです。Security Audit の作業や、Java サービスのセキュリティ設定ミスのリスクを抑えながら強化したい場合に、この springboot-security スキルを使ってください。

skill-comply は、実運用の実行でエージェントが skill、rule、または agent definition に従っているかを確認するためのコンプライアンス検証スキルです。markdown から仕様を生成し、3段階の prompt strictness でシナリオを実行、tool-call の時系列を分類し、証拠付きでコンプライアンス率をレポートします。Compliance Review 向けの skill-comply として有用です。

security-scanスキルは、AgentShieldを使ってClaude Codeの`.claude/`設定を監査し、シークレット、リスクの高いMCP設定、インジェクションされやすい指示、危険なバイパスフラグ、脆弱なエージェントやフック定義を検出します。コミット前やオンボーディング前の、再現性のあるセキュリティチェックに最適です。

security-review スキルを使って、認証、ユーザー入力、シークレット、API、決済、アップロードなどの機微なフローをレビューします。明確な合格/不合格チェック、危険なパターンの例、そしてリリース前に一般的な問題を見つけるための集中的な手順を備えた、実践的なセキュリティレビューガイドを提供します。

security-bounty-hunter は、リポジトリ内のバグ報奨金対象になりやすい脆弱性を見つけるのに役立ちます。特に、リモートから到達可能で、ユーザーが制御でき、トリアージを通過しやすい問題に重点を置いています。Security Audit の作業で、ローカル限定のノイズではなく、実際に報告しやすい成果を求めるときに向いています。

repo-scan は、ファイルを分類し、埋め込みのサードパーティライブラリを検出し、何が中核で、何が重複で、何が不要な負荷かを判断しやすくする、クロススタック対応のソース監査スキルです。repo-scan を Code Review に使う場面、レガシー移行、リファクタリング計画に役立ちます。インストール方法と使用ガイドは、このスキル内の repo-scan の案内を参照してください。

perl-security は、より安全な入力処理、taint mode、シェル実行、DBI のプレースホルダー、さらに XSS・SQLi・CSRF などの Web セキュリティ問題まで、Perl コードをレビューするのに役立ちます。Security Audit、修正計画、安全な開発の場面で、ユーザー制御データが重要な sink に到達する箇所を確認するために使ってください。

llm-trading-agent-security は、ウォレット権限を持つ自律型トレーディングエージェントを安全にするための実践ガイドです。プロンプトインジェクション、支出上限、送信前シミュレーション、サーキットブレーカー、MEVを意識した実行、鍵の分離を扱い、Security Audit における金銭損失リスクの低減に役立ちます。

laravel-security は、authn/authz、バリデーション、CSRF、mass assignment、ファイルアップロード、シークレット、rate limiting、安全なデプロイまでを網羅した、実践的な Laravel セキュリティチェックリストです。Laravel アプリの監査、機能レビュー、ハードニング作業に活用できます。

hipaa-compliance は、医療分野のプライバシーとセキュリティに関する作業のための HIPAA 専用エントリポイントです。タスクが PHI、対象事業体、BAA、インシデント時の対応姿勢、またはワークフローが HIPAA リスクを生むかどうかに明示的に関わる場合に、hipaa-compliance skill を使ってください。これは、迅速なコンプライアンスの切り分けとガイダンスのための、薄いオーバーレイです。

healthcare-phi-complianceは、医療アプリにおけるPHI/PIIのリスクを、データモデル、API、ログ、アクセス経路まで含めて確認するためのスキルです。データ分類、アクセス制御、暗号化、監査証跡、そしてHIPAA、DISHA、GDPRなどに関する一般的な漏えい経路の確認に使えます。

healthcare-eval-harness は、医療アプリのデプロイ向け患者安全評価ハーネスです。リリース前に、CDSS の精度、PHI の露出、データ整合性、臨床ワークフローの挙動、統合コンプライアンスをチームで検証できます。重大な失敗はデプロイをブロックするため、Model Evaluation や CI の安全ゲートとして healthcare-eval-harness を使いたい場合に有用です。

github-opsは、`gh` CLIを使ってIssueのトリアージ、PR管理、CI失敗の確認、リリース準備、リポジトリ健全性の監視を行うためのGitHub運用スキルです。実在するリポジトリに対して、繰り返し使えるgithub-ops運用が必要で、`gh auth login`による認証と明確なリポジトリコンテキストがある場合に使います。

ecc-tools-cost-audit は、ECC Tools のコスト急増、PR の暴走生成、クォータ回避、プレミアムモデルの漏れ利用、重複ジョブを証拠ベースで監査するためのスキルです。Webhook から worker、さらに課金判断までリクエストをたどり、どこでコストが発生しているのかを裏づけたい Backend Development の調査に使えます。

django-verification は、Django バックエンドプロジェクト向けのリリース準備スキルです。環境チェック、lint、フォーマット、型チェック、マイグレーション、カバレッジ付きテスト、セキュリティスキャン、デプロイ準備までを案内し、PR 前やリリース前に問題を洗い出せるようにします。

django-security は、Django アプリを認証、認可、CSRF、XSS、SQLインジェクション対策、セキュアCookie、本番設定の観点から強化するための実践ガイドです。開発者やレビュー担当者が Security Audit を集中的に実施し、リスクの高い設定をすばやく見つけ、デプロイ前に具体的な修正を適用できるようにします。

defi-amm-security は、SolidityのAMM、流動性プール、LP Vault、スワップ処理に特化したセキュリティチェックリストです。再入可能性、CEI順序、寄付攻撃やインフレ攻撃、オラクル前提、スリッページ、管理者権限、整数演算を、汎用的なプロンプトよりも迷い少なくレビューするのに役立ちます。監査担当者やエンジニアが、DeFi AMMの脆弱性確認を実務的に進めるための、検索意図に合った導入候補です。

code-reviewerは、コードやdiffを入力すると、セキュリティ、パフォーマンス、ベストプラクティス、重大度、影響箇所、推奨修正、総合品質スコアを含む構造化レポートに整理できる、軽量なCode Review向けスキルです。

code-reviewer は、セキュリティ、性能、正しさ、保守性の順で厳密に確認する AI コードレビュー用スキルです。SQL injection、XSS、N+1 queries、error handling、naming、type hints などのルールファイルを備えており、汎用的なレビュー用プロンプトよりも一貫した PR レビューを行いやすくします。

cso は、エージェント向けの Chief Security Officer 風セキュリティ監査スキルです。Secrets の露出、依存関係とサプライチェーンのリスク、CI/CD のセキュリティ、LLM/AI セキュリティを、OWASP Top 10 と STRIDE を使ってコードベースとワークフローの両面からレビューするのに役立ちます。信頼度ゲート、アクティブ検証、トレンド追跡を備えた構造化された Security Audit レビューに cso を使ってください。

attack-tree-constructionは、明確なルート目標、AND/OR分岐、検証可能な末端攻撃を備えた構造的な攻撃ツリーを、Threat Modeling向けに組み立てるためのスキルです。攻撃経路の可視化、防御ギャップの洗い出し、セキュリティレビュー、テスト、緩和策の計画に役立ちます。

sast-configurationスキルは、実運用のSASTワークフローに向けてSemgrep、SonarQube、CodeQLを設定する際に役立ちます。導入手順の整理、CI/CD連携、カスタムルール、品質ゲート、Security Auditやリポジトリ単位のスキャンに合わせた誤検知チューニングの検討に活用できます。

stride-analysis-patterns は、アーキテクチャ、API、データフローに対して、構造化された STRIDE 脅威モデリングを実行できるスキルです。wshobson/agents リポジトリから導入し、`SKILL.md` を確認することで、システムの説明をカテゴリ別の脅威とコントロール重視のレビュー結果へ整理できます。

threat-mitigation-mappingスキルは、特定した脅威を予防・検知・是正の各コントロールにレイヤー横断で対応付けし、多層防御の設計、改善計画の策定、コントロール網羅性の見直しを支援します。