スキル container-grype
📦

container-grype

v0.1.0 中リスク ⚙️ 外部コマンド🌐 ネットワークアクセス📁 ファイルシステムへのアクセス🔑 環境変数⚡ スクリプトを含む

Grypeでコンテナをスキャン

コンテナイメージには、優先順位付けが難しい脆弱なパッケージが含まれて出荷されることがよくあります。このスキルは、Claude、Codex、Claude CodeがGrypeスキャンを実行し、結果を解釈し、CI/CDゲートを追加するのに役立ちます。

対応: Claude Codex Code(CC)
📊 75 十分
1

スキルの ZIP をダウンロード

2

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロード に移動

3

オンにして使い始める

エージェントが読めるリソース

AI エージェント、クローラー、スクリプトがページ全体ではなく整理されたコンテキストを必要とする場合は、これらのリンクを使ってください。

テストする

「container-grype」を使用しています。 本番イメージをスキャンして結果を説明してください。

期待される結果:

簡潔なスキャン計画、重大度の要約、最もリスクの高いCVE、影響を受けるパッケージ、推奨される更新、再スキャン手順。

「container-grype」を使用しています。 GitHub ActionsパイプラインにGrypeを追加してください。

期待される結果:

checkout、build、scan、SARIF upload、artifact retention、fail threshold、およびテンプレート強化に関する警告を含むパイプライン概要。

「container-grype」を使用しています。 脆弱性結果を修復計画に変換してください。

期待される結果:

ベースイメージ更新、アプリケーション依存関係のアップグレード、受容リスク、所有者、目標日ごとにグループ化された優先アクションリスト。

セキュリティ監査

中リスク
v6 • 6/28/2026

Static analysis found many command, network, filesystem, environment, and script patterns, but most are documentation examples for legitimate vulnerability scanning workflows. The confirmed risks are operational: some CI templates install tools with curl piped to a shell and one Jenkins example mounts the Docker socket, so publication is acceptable only with clear warnings and review guidance.

10
スキャンされたファイル
3,459
解析済み行数
9
Review items
0
False positives ignored

Confirmed security concerns (1)

Docker Socket Mounted Into Jenkins Scan Container
The Jenkins example mounts /var/run/docker.sock into the Grype container. This is sometimes required for image scanning, but it gives the scan container broad control over the Docker daemon if the container or pipeline is compromised.
The Docker socket mount is explicitly present in the Jenkins CI example. It is a legitimate operational pattern, but it materially expands pipeline privileges.
Capability review items (3)

These are real local capabilities that may be expected for this skill, so they require review but are not counted as confirmed malicious behavior.

Remote Installer Piped to Shell in CI Templates
The CircleCI and Azure examples install Grype by downloading a script from GitHub and piping it directly to a shell. This is a real supply-chain risk if users copy the templates without pinning, checksum verification, or controlled package sources.
The pattern is present in executable CI snippets and would execute remote code during builds. Confidence is high, but the context is an example template for a security scanner rather than hidden malicious behavior.
Educational Security Examples Trigger Static Patterns
Several findings are false positives from educational examples that demonstrate vulnerable patterns, CVSS concepts, CISA KEV prioritization, or remediation guidance. These examples are not executed by the skill itself.
The surrounding files are clearly templates or reference documents, and the flagged lines are used to teach detection and remediation. They should be documented, but they do not show active malicious behavior.
Normal CI Token and Local Configuration Access
The GitHub token, environment variable, .grype.yaml, cache directory, and report file reads are expected for CI security reporting and Grype configuration. No evidence found that the skill exfiltrates secrets or reads unrelated user files.
The evidence appears in CI configuration and local Grype configuration examples. It remains low risk because users may copy the templates into privileged environments.

検出されたパターン

Pipe to Shell Installation PatternPrivileged Docker Daemon AccessShell Command Examples Require Input Control
監査者: codex 監査履歴を表示 →

品質スコア

59
アーキテクチャ
100
保守性
87
コンテンツ
71
コミュニティ
57
セキュリティ
91
仕様準拠

作成できるもの

リスクの高いコンテナリリースをブロック

ビルドパイプラインにGrypeスキャンを追加し、高または重大な脆弱性が見つかった場合にリリースを失敗させます。

修復作業の優先順位付け

重大度、悪用確率、既知の悪用、修正の可用性、影響を受けるパッケージのコンテキストを使用して、コンテナの検出結果をランク付けします。

監査証跡の準備

脆弱性管理とソフトウェアサプライチェーン管理を支援する、再現可能なスキャンレポートと成果物を生成します。

これらのプロンプトを試す

最初のスキャンを実行
container-grype skillを使用して、<image>という名前のイメージをスキャンしてください。コマンド、期待される出力、criticalおよびhighの検出結果の読み方を説明してください。
CIゲートを追加
container-grype skillを使用して、<platform>向けのCI/CD Grypeスキャンを設計してください。high severityで失敗させ、人間が読めるレポートをartifactとして保存してください。
レポートの優先順位付け
container-grype skillを使用して、Grype resultsの優先順位付けを支援してください。CISA KEV、EPSS、CVSS、fix availability、package ownershipに焦点を当ててください。
エンタープライズワークフローを設計
container-grype skillを使用して、build、registry、deployment、scheduled rescans全体にわたるコンテナ脆弱性管理ワークフローを設計してください。

ベストプラクティス

  • 本番環境でCIテンプレートを使用する前に、スキャナーバージョンを固定し、ダウンロードを検証してください。
  • CVSSが低い場合でも、KEV一致と高EPSSの脆弱性は緊急として扱ってください。
  • パッケージインベントリはアプリケーションアーキテクチャを明らかにする可能性があるため、スキャンレポートは安全に保管してください。

回避

  • 検証せずにリモートインストーラーコマンドを本番CIにコピーしないでください。
  • ランナーが分離され信頼できる場合を除き、共有ランナーにDockerソケットをマウントしないでください。
  • 文書化された理由、所有者、レビュー日なしに脆弱性を抑制しないでください。

よくある質問

このスキルは何をスキャンするのに役立ちますか?
Grypeを使用して、コンテナイメージ、ローカルファイルシステム、SBOMファイルをスキャンするのに役立ちます。
セキュリティアナリストの代わりになりますか?
いいえ。トリアージとワークフロー設計を支援しますが、リスク判断は資格のあるレビュー担当者が承認する必要があります。
Dockerアクセスは必要ですか?
一部のイメージスキャンワークフローでは、Dockerまたはレジストリアクセスが必要です。SBOMベースのスキャンにより、その要件を減らせます。
なぜSBOMスキャンを使用するのですか?
SBOMスキャンは、より高速で再現性があり、監査用にアーカイブしやすい場合があります。
CIテンプレートは本番環境対応ですか?
これらは例です。使用前に、リモートインストーラー、トークン権限、ランナー分離、Dockerソケットアクセスを確認してください。
どのAIツールがこのスキルを使用できますか?
レポートには、Claude、Codex、Claude Codeのサポートが記載されています。