laravel-security
作成者 affaan-mlaravel-security は、authn/authz、バリデーション、CSRF、mass assignment、ファイルアップロード、シークレット、rate limiting、安全なデプロイまでを網羅した、実践的な Laravel セキュリティチェックリストです。Laravel アプリの監査、機能レビュー、ハードニング作業に活用できます。
この skill は 78/100 で、ディレクトリ掲載候補として十分に有力です。Laravel セキュリティに関する具体的な指針がそろっており、導入する価値がありそうです。一般的なプロンプトよりも判断のブレを抑えやすく、エージェントの実行精度向上にも役立つでしょう。一方で、リポジトリの証拠を見る限り、補助スクリプトや参照ファイルを伴わないガイダンス中心の skill なので、深く自動化されたワークフローというより、範囲を絞ったチェックリストとして使うのが適しています。
- 認証、入力処理、ファイルアップロード、シークレット、デプロイ強化など、Laravel の代表的なセキュリティ作業にすぐ結びつく明確な起動の手がかりがある。
- 運用上の指針として、VerifyCsrfToken、policies、Form Requests、RateLimiter、encrypted casts、signed routes など、具体的な Laravel の仕組みが挙がっている。
- SKILL.md の内容が十分にあり、プレースホルダーも見当たらないため、実際に再利用できるワークフロー文書である可能性が高い。
- インストールコマンド、スクリプト、参照資料、リソースは提示されていないため、採用時は markdown を丁寧に読む必要がある。
- 証拠からは、狭く実行可能な手順というより、広いベストプラクティスの案内であることがうかがえるため、複雑なケースではエージェントの自動化効果が限定される可能性がある。
laravel-securityスキルの概要
laravel-securityスキルでできること
laravel-security スキルは、公開前に Laravel アプリを引き締めるための、実践的なセキュリティチェックリスト兼ワークフローガイドです。authn/authz、バリデーション、CSRF、mass assignment、ファイルアップロード、シークレット、レート制限、安全なデプロイといった、実装の要点にフォーカスしています。
どんな人に向いているか
既存の Laravel コードベースを監査するとき、新機能にセキュリティリスクがあるか確認するとき、あるいはセキュリティ要件を具体的な Laravel の設定や middleware に落とし込むときに、laravel-security スキルを使ってください。特に、laravel-security for Security Audit のような作業を行うエンジニア、レビュー担当者、エージェントに役立ちます。
何が便利なのか
最大の価値は、判断を助けてくれる点にあります。いつこのスキルを使うべきか、どの Laravel プリミティブを重視すべきか、そしてよくある攻撃面を推測なしでどう強化するかを示してくれます。Policies、Form Requests、signed routes、cookie 設定、本番環境向けの安全な構成など、Laravel 特有の制御が必要な場面では、一般的なプロンプトよりもずっと有効です。
laravel-securityスキルの使い方
ワークスペースにスキルをインストールする
laravel-security install を行う場合は、リポジトリのインストール手順に従って Claude Code か skills 対応環境にスキルを追加し、インストール済みパッケージ内のスキルファイルを開いてください。ソースリポジトリを直接使うなら、skills/laravel-security/SKILL.md から始めます。
まず読むべきファイルを押さえる
最初に SKILL.md を読み、その中で参照されている Laravel のサンプルや関連資料をたどってください。このリポジトリには補助フォルダがないため、価値の中心はスキル本文に集約されています。したがって、最初の確認では「When to Activate」「How It Works」、およびセキュリティ設定の各セクションに注目するのが基本です。
セキュリティ課題が伝わるプロンプトにする
laravel-security usage は、曖昧な依頼よりも、具体的な対象を与えたほうが効果的です。たとえば、「Laravel 11 の API について、認可バイパス、危険なファイルアップロード、弱いセッション設定、レート制限不足を監査し、ファイルごとに修正点とリスクを返して」といった形です。フレームワークのバージョン、アプリの種類、目的が監査・ハードニング・機能レビューのどれかも添えてください。
レビューのワークフローに組み込む
laravel-security guide を活かすなら、まずリスク領域を特定し、それを Laravel のプリミティブに対応付け、そのうえで設定とコードを同時に確認する流れが有効です。middleware、Form Request、policy、route、.env に関する推奨事項をまとめて出してもらうと、出力が分断されず、そのまま実行しやすくなります。
laravel-securityスキルのFAQ
laravel-security は監査専用ですか?
いいえ。ログインフロー、アップロード、API エンドポイント、本番デプロイ設定を追加するときなど、機能開発の途中でも役立ちます。セキュリティレビュー、是正計画、予防設計にも適しています。
どんな場合には向いていませんか?
Laravel 以外のスタック、インフラ層の深いハードニング、法務・コンプライアンスの解釈には頼らないでください。また、完全なペネトレーションテストの代わりにもなりません。コードレベルとアプリケーションレベルの Laravel セキュリティ判断に最も強いスキルです。
通常のプロンプトと何が違いますか?
通常のプロンプトでも一般的な助言は出せますが、laravel-security skill は VerifyCsrfToken、RateLimiter::for()、policy middleware、signed routes、session/cookie 制御など、Laravel 固有の仕組みに誘導してくれます。そのため、Laravel リポジトリへ直接適用しやすい出力になります。
初心者でも使えますか?
はい。アプリの内容とリスク領域を説明できるなら問題ありません。初心者は、優先順位付きのチェックリストを求めること、そして auth route、upload handler、config/session.php のような小さなコードや設定の断片を共有することで、最も大きな効果を得られます。
laravel-securityスキルを改善するには
まずセキュリティの文脈を伝える
最良の結果を得るには、必要な作業が監査、ハードニング、インシデント対応、機能レビューのどれかを最初に明示してください。加えて、Laravel のバージョン、認証システム、デプロイ先、Sanctum、API、多テナントアクセス、ファイルアップロードの有無などの制約も添えましょう。
漠然とした助言ではなく、具体的な確認項目を求める
このスキルは、失敗パターンを具体的に指定すると精度が上がります。たとえば、認可不足、弱いセッション設定、安全でない mass assignment、危険なアップロード処理、レート制限不足などです。より良いプロンプトは、「この controller と request class を、authz の抜け、validation bypass、危険なファイル処理の観点でレビューし、Laravel の具体的な変更案を示して」といった形です。
見つかった問題から修正へ絞り込む
最初の結果を受けたら、重大度の高い指摘を返し、より狭い範囲で二回目のレビューを依頼してください。たとえば、「session と cookie の hardening だけに絞る」「route の認可と signed URL の適用範囲だけ確認する」といった依頼です。これによりノイズが減り、laravel-security の提案がより正確になります。
実際の設定と突き合わせて確認する
最もよくある失敗は、.env、middleware、route、デプロイの文脈なしにコードだけ渡してしまうことです。関連する config ファイルと、アクセス制御を決める path を共有し、仮定ではなく実際の構成に合ったガイダンスを受けてください。