Auditing

seo-drift は、SEOに重要なページ要素の変化を時系列で追跡し、ベースラインと比較して、デプロイ後、CMS編集後、テンプレート変更後の劣化を検出するための GitHub スキルです。SEOコンテンツの確認、技術的なオンページチェック、そして何か壊れたのかを明確に判断したいときの実用的な seo-drift の使いどころを知るために使えます。

constant-time-testing は、暗号コードのタイミングサイドチャネルを監査するための実践的なスキルです。constant-time-testing スキルを使って、秘密値に依存する分岐、メモリアクセスパターン、マイクロアーキテクチャ上の挙動を確認し、Security Audit のワークフロー向けに集中的な constant-time-testing ガイドを適用してください。

コードベースに対する静的解析を行うためのSemgrepスキルです。言語の自動判定、並列ワーカー、統合されたSARIF出力、そして事前計画ベースの承認フローを備えています。Security Audit のワークフロー向けに設計されており、`run all` と `important only` のモードをサポートし、`--metrics=off` を使用します。利用可能な場合は Semgrep Pro も活用できます。

codeql スキルは、セキュリティ監査で CodeQL を使う際の見落としを減らすのに役立ちます。データベース品質、suite の選定、data extensions、SARIF レビューに重点を置き、対応言語全体で codeql の利用をより確実に進められるようにします。実際のリポジトリを解析するときに、再現性のある codeql 手順として活用してください。

constant-time-analysis は、暗号コードに潜むタイミング系サイドチャネルのリスクを、実害のあるバグになる前に見つけるためのセキュリティ監査スキルです。C、C++、Go、Rust、Swift、Java、Kotlin、PHP、JavaScript、TypeScript、Python、Ruby を確認する際に、秘密値に依存する計算、分岐、比較、そしてコンパイル後の出力をレビューするのに使えます。

ton-vulnerability-scanner は、FunC で書かれた TON スマートコントラクトに特化した監査スキルです。整数を真偽値として誤用していないか、偽の Jetton コントラクトを正しく扱えているか、TON を転送する際の gas チェックが抜けていないかを見つけるのに役立ちます。より深い手動レビューに入る前の、素早い初回 Security Audit に最適です。

substrate-vulnerability-scanner は、Substrate と FRAME の pallet を監査し、算術オーバーフロー、panic による DoS、不適切な origin チェック、誤った weight、unsafe な unsigned extrinsics などの重大な問題を洗い出すのに役立ちます。ランタイム、pallet extrinsics、weight ロジックの Security Audit レビューで、この substrate-vulnerability-scanner スキルを活用してください。

guidelines-advisor は、Trail of Bits のベストプラクティスに基づくスマートコントラクト開発アドバイザーです。コードベースを分析して、ドキュメント作成、アーキテクチャレビュー、アップグレード可能性パターンの確認、実装品質の評価、落とし穴の特定、依存関係のレビュー、テスト評価を行います。明確で根拠のある提案を得たい場合は、この guidelines-advisor ガイドを活用してください。