api-spectral
Spectral で API 仕様を検証
API 仕様では、実装開始前にセキュリティ要件が見落とされることがあります。このスキルは、Claude、Codex、Claude Code に対して、Spectral リンティング、OWASP API チェック、ガバナンスワークフローを案内します。
スキルの ZIP をダウンロード
Claudeでアップロード
設定 → 機能 → スキル → スキルをアップロード に移動
オンにして使い始める
エージェントが読めるリソース
AI エージェント、クローラー、スクリプトがページ全体ではなく整理されたコンテキストを必要とする場合は、これらのリンクを使ってください。
テストする
「api-spectral」を使用しています。 OpenAPI ファイルに、保護されていない書き込み操作と HTTP サーバー URL があります。
期待される結果:
- 認証、トランスポートセキュリティ、OWASP API カテゴリ別にグループ化された優先順位付きの検出結果リスト。
- セキュリティ要件を追加し、HTTP サーバーを HTTPS URL に置き換える修正ガイダンス。
- 検証用に提案される Spectral コマンドと重大度しきい値。
「api-spectral」を使用しています。 チームがプルリクエストで API ルールを使いたいと考えています。
期待される結果:
- Spectral をインストールし、選択したルールセットを実行し、レポートを保存し、プルリクエストにコメントする CI ワークフローの概要。
- ダウンロードした依存関係を固定し、リモートシェルインストーラーを避けるよう促す警告。
- エラーとして適用する前に警告から開始するロールアウト計画。
「api-spectral」を使用しています。 セキュリティチームが、機密性の高いクエリパラメータ用のカスタムルールを必要としています。
期待される結果:
- シークレットまたは個人データに関連するクエリパラメータ名を対象とするルール設計。
- 重大度の推奨事項と OWASP API マッピング。
- 有効および無効な API 仕様例を使ったテストガイダンス。
セキュリティ監査
中リスクStatic analysis reported many command, network, filesystem, environment, script, and weak-crypto patterns. Manual review found these are mostly documentation examples, Spectral rules, and CI templates for security scanning, not hidden runtime behavior. One CI template includes a remote script piped to bash, so publication is acceptable only with a clear warning.
Capability review items (4)
These are real local capabilities that may be expected for this skill, so they require review but are not counted as confirmed malicious behavior.
リスク要因
⚙️ 外部コマンド (224)
🌐 ネットワークアクセス (30)
📁 ファイルシステムへのアクセス (9)
🔑 環境変数 (27)
⚡ スクリプトを含む (2)
検出されたパターン
品質スコア
作成できるもの
構築前に API 設計をレビュー
OpenAPI または AsyncAPI ファイルについて、認証の欠落、安全でないサーバー、機密性の高いクエリパラメータ、OWASP API のギャップをチェックします。
API ガバナンスを標準化
多数の API リポジトリ全体で組織標準を適用する共有 Spectral ルールセットを作成します。
CI に API チェックを追加
ワークフローテンプレートを使用して、プルリクエストやリリースパイプライン中に Spectral の検出結果を報告します。
これらのプロンプトを試す
api-spectral スキルを使用して、Spectral で私の OpenAPI ファイルをリンティングするのを手伝ってください。セットアップ、コマンド、検出結果の読み方を説明してください。
api-spectral スキルを使用して、これらの Spectral 検出結果を OWASP API Security Top 10 のカテゴリにマッピングし、実践的な修正手順を提案してください。
api-spectral スキルを使用して、当社の API 標準向けの Spectral ルールセットを作成してください。認証、HTTPS、ページネーション、機密データチェックを含めてください。
api-spectral スキルを使用して、多数のリポジトリ全体で API 仕様リンティングを段階的に CI 展開する計画を設計してください。しきい値、例外、レポート、開発者フィードバックを含めてください。
ベストプラクティス
- まず組み込みの Spectral ルールから始め、その後カスタムセキュリティルールを段階的に追加します。
- 検出結果を確認済みの脆弱性として扱う前に、手動でレビューします。
- CI 依存関係を固定し、ダウンロードしたツールを実行する前に検証します。
回避
- リモートダウンロードをレビューせずに CI テンプレートを本番環境へコピーしないでください。
- API 例に実際のシークレット、トークン、プライベート URL を含めないでください。
- チームが想定される誤検知をレビューする前に、新しいルールでビルドを失敗させないでください。