Audit

workspace-surface-audit は、ワークスペースとマシンが今すぐ何をできるかを確認するための読み取り専用の監査スキルです。リポジトリ、MCP servers、plugins、connectors、環境面、harness のセットアップを調べたうえで、Workflow Automation に最適な ECC ネイティブの skills、hooks、agents、workflows を提案します。

security-bounty-hunter は、リポジトリ内のバグ報奨金対象になりやすい脆弱性を見つけるのに役立ちます。特に、リモートから到達可能で、ユーザーが制御でき、トリアージを通過しやすい問題に重点を置いています。Security Audit の作業で、ローカル限定のノイズではなく、実際に報告しやすい成果を求めるときに向いています。

repo-scan は、ファイルを分類し、埋め込みのサードパーティライブラリを検出し、何が中核で、何が重複で、何が不要な負荷かを判断しやすくする、クロススタック対応のソース監査スキルです。repo-scan を Code Review に使う場面、レガシー移行、リファクタリング計画に役立ちます。インストール方法と使用ガイドは、このスキル内の repo-scan の案内を参照してください。

quality-nonconformance は、規制産業の製造現場向けに、NCRの受付、根本原因分析、CAPA、SPC解釈、最終処置を支援する skill です。Compliance Review、サプライヤー品質問題、トレーサビリティ、リスク、監査対応を意識した根拠ある判断が求められる場面で活用できます。

product-lens は、作る前に「なぜ必要か」を検証し、プロダクトの方向性を実際に試し、曖昧な依頼をより明確なブリーフへ落とし込むための意思決定支援スキルです。フル仕様書ではなく、素早いプロダクト診断が必要で、エンジニアリング計画に入る前に go/no-go をよりはっきり判断したいときに使います。

healthcare-phi-complianceは、医療アプリにおけるPHI/PIIのリスクを、データモデル、API、ログ、アクセス経路まで含めて確認するためのスキルです。データ分類、アクセス制御、暗号化、監査証跡、そしてHIPAA、DISHA、GDPRなどに関する一般的な漏えい経路の確認に使えます。

ecc-tools-cost-audit は、ECC Tools のコスト急増、PR の暴走生成、クォータ回避、プレミアムモデルの漏れ利用、重複ジョブを証拠ベースで監査するためのスキルです。Webhook から worker、さらに課金判断までリクエストをたどり、どこでコストが発生しているのかを裏づけたい Backend Development の調査に使えます。

click-path-audit スキルは、UIハンドラーを状態変化ごとに追跡し、リファクタ後やコードレビュー時に起きやすい順序バグ、共有状態の競合、最終状態の不整合を見つけるのに役立ちます。

automation-audit-ops は、Workflow Automation 向けの証拠重視の自動化インベントリ作成と重複監査のスキルです。修正に入る前に、どのジョブ、フック、コネクタ、MCP servers、またはラッパーが稼働中で、壊れていて、冗長で、あるいは不足しているのかを特定するのに使います。

cso は、エージェント向けの Chief Security Officer 風セキュリティ監査スキルです。Secrets の露出、依存関係とサプライチェーンのリスク、CI/CD のセキュリティ、LLM/AI セキュリティを、OWASP Top 10 と STRIDE を使ってコードベースとワークフローの両面からレビューするのに役立ちます。信頼度ゲート、アクティブ検証、トレンド追跡を備えた構造化された Security Audit レビューに cso を使ってください。

design-reviewは、稼働中のインターフェースを監査し、余白、階層、ビジュアルの一貫性、インタラクション上の問題を見つけ、検証しながら段階的に修正していく、UX志向のデザインQAスキルです。実装前のplan-modeレビューにも対応しており、曖昧な助言ではなく、具体的なソース変更に踏み込んだdesign-reviewガイドが必要なときに役立ちます。

accessibility-complianceスキルは、実践的なWCAG 2.2、ARIA、キーボード操作、スクリーンリーダー、モバイルアクセシビリティの指針をもとに、チームのWeb／モバイルUI監査と改善を支援します。UX監査、コンポーネント修正、実装に落とし込みやすい改善提案に適しています。

security-requirement-extraction は、脅威モデルとビジネス文脈をもとに、検証可能なセキュリティ要件、ユーザーストーリー、受け入れ基準、そして Requirements Planning に使えるバックログ投入可能な成果物へ落とし込むためのスキルです。

stride-analysis-patterns は、アーキテクチャ、API、データフローに対して、構造化された STRIDE 脅威モデリングを実行できるスキルです。wshobson/agents リポジトリから導入し、`SKILL.md` を確認することで、システムの説明をカテゴリ別の脅威とコントロール重視のレビュー結果へ整理できます。

threat-mitigation-mappingスキルは、特定した脅威を予防・検知・是正の各コントロールにレイヤー横断で対応付けし、多層防御の設計、改善計画の策定、コントロール網羅性の見直しを支援します。

pci-compliance スキルは、PCI DSSのアーキテクチャレビュー、スコープ削減、ギャップ分析、決済データの取り扱い判断を進める際の指針として役立ちます。決済フローを設計するチーム、審査準備を進める担当者、コンプライアンスレビュー前に管理策を見直したいケースに適しています。

gdpr-data-handling は、同意、適法根拠、データ主体の権利、保存期間、プライバシー・バイ・デザインに関する判断を、GDPR要件に沿った実践的なレビュー指針へ落とし込むためのスキルです。

wcag-audit-patternsは、アクセシビリティレビューのために構造化されたWCAG 2.2監査スキルです。自動検出の結果と手動チェックを組み合わせ、重大度と適合レベルに沿って課題の優先順位を整理し、ページ・ユーザーフロー・コンポーネントごとに実行しやすい改善ガイダンスを作成するのに役立ちます。

ai-prompt-engineering-safety-review は、LLMプロンプトを本番導入前、評価時、または顧客向け利用前に見直し、安全性・バイアス・セキュリティ上の弱点・出力品質を監査するためのプロンプトレビュー用スキルです。

agent-governanceは、ツールを使うAIエージェントやマルチエージェントシステム向けに、ガードレール、ポリシーチェック、信頼ルール、ツール制限、監査ログを設計するためのドキュメント主導型スキルです。

seo-auditは、クロール性、インデックス状況、テクニカルSEO、オンページ要素、コンテンツ上の課題を診断するための、構造化されたSEOレビュー用スキルです。サイトの前提情報を適切に確認し、明確な監査順序に沿って進め、根拠のないschemaの断定を避けながら、指摘事項を優先度付きのアクションプランに落とし込むのに役立ちます。

page-croは、マーケティングページをレビューし、コンバージョン改善につながる実践的な打ち手を見つけるためのCROスキルです。ランディングページ、料金ページ、ホームページ、機能紹介ページ、ブログ記事などを対象に、目標、流入元、想定読者、ボトルネックを明確にしたうえで分析できます。インストールの判断材料、活用の進め方、プロンプト例、実験重視の使い方も含まれています。

free-tool-strategy は、Product Marketing チームやグロースチームが無料のマーケティングツールを作るべきかを見極め、calculator・grader・analyzer・generator などの選択肢を比較し、MVP の範囲、ゲーティング、実装上のトレードオフを整理するためのスキルです。リポジトリベースの導入判断に役立つ文脈、主要ファイル、実践的な使い方のガイダンスも含まれます。

form-croは、会員登録以外のフォームを監査・改善するためのスキルです。リード獲得、問い合わせ、デモ依頼、申込み、アンケート、見積もり、チェックアウト型フォームなどを対象に、入力項目の負担を減らし、離脱要因を見極め、フォーム構成を見直すのに役立ちます。リポジトリに基づくガイダンス、eval例、導入と使い方の明確な流れが用意されており、実務で判断しやすい構成です。