スキル api-spectral
🛡️
api-spectral
安全 ⚙️
外部コマンド🌐
ネットワークアクセス📁
ファイルシステムへのアクセス🔑
環境変数⚡
スクリプトを含む
APIスペックをセキュリティ標準に対して検証する
APIは、誤った設定のスペックによってセキュリティ脆弱性を露出することがよくあります。SpectralはOpenAPIおよびAsyncAPIの定義をOWASP API Security Top 10に対して検証し、デプロイ前に認証の欠陥、認可の問題、データ露出リスクを検出します。
対応: Claude Codex Code(CC)
1
スキルZIPをダウンロード
2
Claudeでアップロード
設定 → 機能 → スキル → スキルをアップロードへ移動
3
オンにして利用開始
テストする
「api-spectral」を使用しています。 APIスペックのセキュリティ問題をスキャンする
期待される結果:
- Critical Issues Found: 2
- - Missing security scheme definition (OWASP API2:2023)
- - HTTP Basic authentication detected (OWASP API2:2023)
- Warnings: 5
- - Server URL uses HTTP instead of HTTPS (OWASP API8:2023)
- - No rate limiting headers documented (OWASP API4:2023)
- - No pagination on list endpoint (OWASP API4:2023)
- Compliant: 12 checks passed
「api-spectral」を使用しています。 APIのOWASPルールセットを生成する
期待される結果:
- Created spectral-owasp.yaml with rules for:
- - API1:2023 Broken Object Level Authorization
- - API2:2023 Broken Authentication
- - API3:2023 Broken Object Property Level Authorization
- - API7:2023 Server Side Request Forgery
- - API8:2023 Security Misconfiguration
- - API9:2023 Improper Inventory Management
セキュリティ監査
安全v5 • 1/16/2026
This is a documentation-only skill containing YAML configuration files and markdown guides for API security validation using Spectral. No executable scripts exist. All static findings are false positives triggered by example code patterns in documentation, YAML rule definitions that detect security issues (not use them), and CI/CD template placeholders.
10
スキャンされたファイル
3,978
解析された行数
5
検出結果
5
総監査数
リスク要因
⚙️ 外部コマンド (224)
assets/ci-config-template.yml:298 assets/ci-config-template.yml:301 assets/ci-config-template.yml:304 assets/ci-config-template.yml:307 assets/ci-config-template.yml:310 assets/ci-config-template.yml:134 assets/ci-config-template.yml:250 assets/ci-config-template.yml:291 assets/github-actions-template.yml:116-129 assets/github-actions-template.yml:87 references/custom_rules_guide.md:18-29 references/custom_rules_guide.md:29-42 references/custom_rules_guide.md:42-57 references/custom_rules_guide.md:57-61 references/custom_rules_guide.md:61-76 references/custom_rules_guide.md:76-84 references/custom_rules_guide.md:84-94 references/custom_rules_guide.md:94-100 references/custom_rules_guide.md:100-112 references/custom_rules_guide.md:112-118 references/custom_rules_guide.md:118-125 references/custom_rules_guide.md:125-131 references/custom_rules_guide.md:131-139 references/custom_rules_guide.md:139-145 references/custom_rules_guide.md:145-158 references/custom_rules_guide.md:158-164 references/custom_rules_guide.md:164-169 references/custom_rules_guide.md:169-175 references/custom_rules_guide.md:175-185 references/custom_rules_guide.md:185-189 references/custom_rules_guide.md:189-213 references/custom_rules_guide.md:213-217 references/custom_rules_guide.md:217-231 references/custom_rules_guide.md:231-235 references/custom_rules_guide.md:235-244 references/custom_rules_guide.md:244-248 references/custom_rules_guide.md:248-265 references/custom_rules_guide.md:265-269 references/custom_rules_guide.md:269-286 references/custom_rules_guide.md:286-290 references/custom_rules_guide.md:290-303 references/custom_rules_guide.md:303-307 references/custom_rules_guide.md:307-318 references/custom_rules_guide.md:318-322 references/custom_rules_guide.md:322-342 references/custom_rules_guide.md:342-346 references/custom_rules_guide.md:346-356 references/custom_rules_guide.md:356-362 references/custom_rules_guide.md:362-376 references/custom_rules_guide.md:376-378 references/custom_rules_guide.md:378-391 references/custom_rules_guide.md:391-395 references/custom_rules_guide.md:395-404 references/custom_rules_guide.md:404-408 references/custom_rules_guide.md:408-441 references/custom_rules_guide.md:441-449 references/custom_rules_guide.md:449-456 references/custom_rules_guide.md:456-462 references/custom_rules_guide.md:462-472 references/custom_rules_guide.md:472-476 references/custom_rules_guide.md:476-482 references/custom_rules_guide.md:482-486 references/custom_rules_guide.md:486-498 references/custom_rules_guide.md:498-502 references/custom_rules_guide.md:502-511 references/custom_rules_guide.md:511-515 references/custom_rules_guide.md:515-525 references/custom_rules_guide.md:525-529 references/custom_rules_guide.md:529-536 references/custom_rules_guide.md:536-540 references/custom_rules_guide.md:540-546 references/custom_rules_guide.md:409 references/EXAMPLE.md:54-74 references/EXAMPLE.md:74-95 references/EXAMPLE.md:95-108 references/EXAMPLE.md:108-111 references/EXAMPLE.md:111-118 references/EXAMPLE.md:118-122 references/EXAMPLE.md:122-129 references/EXAMPLE.md:129-135 references/EXAMPLE.md:135-151 references/EXAMPLE.md:151-154 references/EXAMPLE.md:154-162 references/EXAMPLE.md:162-296 references/EXAMPLE.md:296-306 references/EXAMPLE.md:306-309 references/EXAMPLE.md:309-318 references/EXAMPLE.md:318-333 references/EXAMPLE.md:333-342 references/EXAMPLE.md:342-346 references/EXAMPLE.md:346-354 references/EXAMPLE.md:354-358 references/EXAMPLE.md:358-361 references/EXAMPLE.md:361-371 references/EXAMPLE.md:371-404 references/EXAMPLE.md:404-414 references/EXAMPLE.md:414-447 references/EXAMPLE.md:447-451 references/EXAMPLE.md:451-472 references/EXAMPLE.md:472-476 references/EXAMPLE.md:476-537 references/owasp_api_mappings.md:26-60 references/owasp_api_mappings.md:60-77 references/owasp_api_mappings.md:77-123 references/owasp_api_mappings.md:123-140 references/owasp_api_mappings.md:140-182 references/owasp_api_mappings.md:182-186 references/owasp_api_mappings.md:186-187 references/owasp_api_mappings.md:187-188 references/owasp_api_mappings.md:188-199 references/owasp_api_mappings.md:199-250 references/owasp_api_mappings.md:250-267 references/owasp_api_mappings.md:267-317 references/owasp_api_mappings.md:317-335 references/owasp_api_mappings.md:335-390 references/owasp_api_mappings.md:390-405 references/owasp_api_mappings.md:405-466 references/WORKFLOW_CHECKLIST.md:74 SKILL.md:41-53 SKILL.md:53-57 SKILL.md:57-66 SKILL.md:66-70 SKILL.md:70-76 SKILL.md:76-98 SKILL.md:98-100 SKILL.md:100-115 SKILL.md:115-118 SKILL.md:118-119 SKILL.md:119-120 SKILL.md:120-124 SKILL.md:124-125 SKILL.md:125-126 SKILL.md:126-128 SKILL.md:128-134 SKILL.md:134-154 SKILL.md:154-157 SKILL.md:157-158 SKILL.md:158-159 SKILL.md:159-160 SKILL.md:160-161 SKILL.md:161-167 SKILL.md:167-216 SKILL.md:216-219 SKILL.md:219-221 SKILL.md:221-223 SKILL.md:223-229 SKILL.md:229-289 SKILL.md:289-292 SKILL.md:292-293 SKILL.md:293-294 SKILL.md:294-301 SKILL.md:301-342 SKILL.md:342-345 SKILL.md:345-357 SKILL.md:357-360 SKILL.md:360-374 SKILL.md:374-376 SKILL.md:376-382 SKILL.md:382-394 SKILL.md:394-406 SKILL.md:406-417 SKILL.md:417-425 SKILL.md:425-439 SKILL.md:439-445 SKILL.md:445-457 SKILL.md:457-459 SKILL.md:459-465 SKILL.md:465-471 SKILL.md:471-488 SKILL.md:488-494 SKILL.md:494-506 SKILL.md:506-512 SKILL.md:512-525 SKILL.md:525-527 SKILL.md:527-540 SKILL.md:540-542 SKILL.md:542-548 SKILL.md:548-557 SKILL.md:557-561 SKILL.md:561-568 SKILL.md:568-585 SKILL.md:585-587 SKILL.md:587-588 SKILL.md:588-589 SKILL.md:589-590 SKILL.md:590-591 SKILL.md:591-592 SKILL.md:592-593 SKILL.md:593-594 SKILL.md:594-596 SKILL.md:596-598 SKILL.md:598-599 SKILL.md:599-600 SKILL.md:600-601 SKILL.md:601-602 SKILL.md:602-604 SKILL.md:604-606 SKILL.md:606-607 SKILL.md:607-608 SKILL.md:608-609 SKILL.md:609-610 SKILL.md:610-618 SKILL.md:618-624 SKILL.md:624-630 SKILL.md:630-639 SKILL.md:639-645 SKILL.md:645-656 SKILL.md:656-673 SKILL.md:673 SKILL.md:673-675 SKILL.md:675-676 SKILL.md:676-682 SKILL.md:682-683 SKILL.md:683-689 SKILL.md:689-690 SKILL.md:690-699 SKILL.md:699-700 SKILL.md:363 SKILL.md:432 SKILL.md:476 SKILL.md:360-374 SKILL.md:425-439 SKILL.md:471-488 SKILL.md:473
🌐 ネットワークアクセス (31)
assets/ci-config-template.yml:240 assets/github-actions-template.yml:66 assets/github-actions-template.yml:165 assets/rule-template.yaml:43 assets/rule-template.yaml:44 assets/rule-template.yaml:45 assets/rule-template.yaml:73 assets/rule-template.yaml:118 assets/rule-template.yaml:119 assets/rule-template.yaml:151 assets/rule-template.yaml:191 assets/rule-template.yaml:192 assets/rule-template.yaml:193 assets/rule-template.yaml:217 assets/rule-template.yaml:260 assets/rule-template.yaml:261 assets/rule-template.yaml:288 references/custom_rules_guide.md:550 references/custom_rules_guide.md:551 references/owasp_api_mappings.md:470 references/owasp_api_mappings.md:471 references/owasp_api_mappings.md:472 skill-report.json:6 SKILL.md:21 SKILL.md:22 SKILL.md:23 SKILL.md:704 SKILL.md:705 SKILL.md:706 SKILL.md:707 SKILL.md:708
📁 ファイルシステムへのアクセス (9)
🔑 環境変数 (27)
assets/ci-config-template.yml:164 assets/ci-config-template.yml:164 assets/rule-template.yaml:148 assets/rule-template.yaml:148 assets/rule-template.yaml:147 assets/rule-template.yaml:162 assets/rule-template.yaml:132 assets/rule-template.yaml:147 assets/rule-template.yaml:148 assets/rule-template.yaml:156 assets/rule-template.yaml:157 assets/rule-template.yaml:162 assets/rule-template.yaml:162 assets/rule-template.yaml:163 assets/rule-template.yaml:164 assets/rule-template.yaml:165 references/EXAMPLE.md:423 references/EXAMPLE.md:423 references/EXAMPLE.md:423 references/EXAMPLE.md:424 references/EXAMPLE.md:425 references/EXAMPLE.md:427 references/EXAMPLE.md:430 references/EXAMPLE.md:432 references/EXAMPLE.md:437 references/EXAMPLE.md:437 references/EXAMPLE.md:444
⚡ スクリプトを含む (2)
監査者: claude 監査履歴を表示 →
品質スコア
59
アーキテクチャ
100
保守性
87
コンテンツ
21
コミュニティ
100
セキュリティ
91
仕様準拠
作れるもの
API設計を検証する
実装コードを書く前にOpenAPIスペックのセキュリティ問題をチェックする
セキュリティ標準を強制する
開発チーム全体で組織全体のAPIセキュリティルールセットを作成および配布する
セキュリティスキャンを自動化する
GitHub ActionsまたはGitLab CIを使用してAPIスペック検証をCI/CDパイプラインに統合する
これらのプロンプトを試す
クイックセキュリティスキャン
api-spectralスキルを使用して、[file path]にあるOpenAPIスペックをセキュリティ問題についてスキャンしてください。検出結果を重要度別にグループ化し、それぞれをOWASP API Security Top 10カテゴリにマッピングして報告してください。
カスタムルールセットを作成する
api-spectralスキルを使用して、すべてのエンドポイントでHTTPSを要求し、HTTP Basic認証を禁止し、APIスペックにレート制限ヘッダーを義務付けるカスタムSpectralルールセットを作成してください。
CI/CD統合
api-spectralスキルを使用して、すべてのプルリクエストでapi-specs/ディレクトリ内のすべてのOpenAPIファイルをOWASPルールセットに対して検証するGitHub Actionsワークフローを生成してください。
修復ガイダンス
api-spectralスキルを使用してSpectralスキャン結果を分析し、各検出結果に対する具体的な修復手順を、修正されたYAMLの例と関連するOWASPガイドラインへの参照を含めて提供してください。
ベストプラクティス
- コードレビュー前に問題を検出するため、pre-commitフックにSpectralスキャンを統合する
- ノイズを減らすため、最初はエラー重要度のルールのみから始め、段階的に警告を追加する
- ルールセットをバージョン管理し、ルール変更にはピアレビューを要求する
回避
- APIスペックの変更ごとではなく、時々しかSpectralを実行しない
- 情報提供目的の検出結果をセキュリティコンテキストをレビューせずに無視する
- すべてを警告としてフラグ付けする過度に寛容なルールセットを使用する
よくある質問
Spectralはどのスペックをサポートしていますか?
SpectralはOpenAPI 2.x、3.x、AsyncAPI 2.x、およびArazzo 1.0スペックをYAMLまたはJSON形式で検証します。
Spectralをどのようにインストールしますか?
npm経由でインストール: npm install -g @stoplight/spectral-cli またはDockerを使用: docker pull stoplight/spectral
SpectralをCI/CDパイプラインに統合できますか?
はい、SpectralはJSON出力とGitHub Actions形式をサポートしています。マシン出力には--format jsonを使用し、ビルドを失敗させるには--fail-severity errorを使用してください。
このスキルはシステム上でコードを実行しますか?
いいえ、このスキルはドキュメントとYAMLテンプレートのみを提供します。npmまたはDockerを使用してSpectralを別途インストールして実行する必要があります。
なぜ誤検出が発生するのですか?
最初は--fail-severity errorで重要度のしきい値を下げてください。正当な例外があるパスやエンドポイントを除外するには、ルールオーバーライドを使用してください。
これはAPIセキュリティテストツールとどう違いますか?
SpectralはAPIスペック(設計時)を検証しますが、ZAPやBurpなどのツールは稼働中のAPI(実行時)をテストします。完全なカバレッジのために両方を使用してください。