container-grype
Grypeでコンテナをスキャン
コンテナイメージには、優先順位付けが難しい脆弱なパッケージが含まれて出荷されることがよくあります。このスキルは、Claude、Codex、Claude CodeがGrypeスキャンを実行し、結果を解釈し、CI/CDゲートを追加するのに役立ちます。
スキルの ZIP をダウンロード
Claudeでアップロード
設定 → 機能 → スキル → スキルをアップロード に移動
オンにして使い始める
エージェントが読めるリソース
AI エージェント、クローラー、スクリプトがページ全体ではなく整理されたコンテキストを必要とする場合は、これらのリンクを使ってください。
テストする
「container-grype」を使用しています。 本番イメージをスキャンして結果を説明してください。
期待される結果:
簡潔なスキャン計画、重大度の要約、最もリスクの高いCVE、影響を受けるパッケージ、推奨される更新、再スキャン手順。
「container-grype」を使用しています。 GitHub ActionsパイプラインにGrypeを追加してください。
期待される結果:
checkout、build、scan、SARIF upload、artifact retention、fail threshold、およびテンプレート強化に関する警告を含むパイプライン概要。
「container-grype」を使用しています。 脆弱性結果を修復計画に変換してください。
期待される結果:
ベースイメージ更新、アプリケーション依存関係のアップグレード、受容リスク、所有者、目標日ごとにグループ化された優先アクションリスト。
セキュリティ監査
中リスクStatic analysis found many command, network, filesystem, environment, and script patterns, but most are documentation examples for legitimate vulnerability scanning workflows. The confirmed risks are operational: some CI templates install tools with curl piped to a shell and one Jenkins example mounts the Docker socket, so publication is acceptable only with clear warnings and review guidance.
Confirmed security concerns (1)
Capability review items (3)
These are real local capabilities that may be expected for this skill, so they require review but are not counted as confirmed malicious behavior.
リスク要因
⚙️ 外部コマンド (4)
🌐 ネットワークアクセス (4)
📁 ファイルシステムへのアクセス (3)
🔑 環境変数 (3)
⚡ スクリプトを含む (1)
検出されたパターン
品質スコア
作成できるもの
リスクの高いコンテナリリースをブロック
ビルドパイプラインにGrypeスキャンを追加し、高または重大な脆弱性が見つかった場合にリリースを失敗させます。
修復作業の優先順位付け
重大度、悪用確率、既知の悪用、修正の可用性、影響を受けるパッケージのコンテキストを使用して、コンテナの検出結果をランク付けします。
監査証跡の準備
脆弱性管理とソフトウェアサプライチェーン管理を支援する、再現可能なスキャンレポートと成果物を生成します。
これらのプロンプトを試す
container-grype skillを使用して、<image>という名前のイメージをスキャンしてください。コマンド、期待される出力、criticalおよびhighの検出結果の読み方を説明してください。
container-grype skillを使用して、<platform>向けのCI/CD Grypeスキャンを設計してください。high severityで失敗させ、人間が読めるレポートをartifactとして保存してください。
container-grype skillを使用して、Grype resultsの優先順位付けを支援してください。CISA KEV、EPSS、CVSS、fix availability、package ownershipに焦点を当ててください。
container-grype skillを使用して、build、registry、deployment、scheduled rescans全体にわたるコンテナ脆弱性管理ワークフローを設計してください。
ベストプラクティス
- 本番環境でCIテンプレートを使用する前に、スキャナーバージョンを固定し、ダウンロードを検証してください。
- CVSSが低い場合でも、KEV一致と高EPSSの脆弱性は緊急として扱ってください。
- パッケージインベントリはアプリケーションアーキテクチャを明らかにする可能性があるため、スキャンレポートは安全に保管してください。
回避
- 検証せずにリモートインストーラーコマンドを本番CIにコピーしないでください。
- ランナーが分離され信頼できる場合を除き、共有ランナーにDockerソケットをマウントしないでください。
- 文書化された理由、所有者、レビュー日なしに脆弱性を抑制しないでください。