スキル iac-checkov

📦

iac-checkov

Name: iac-checkov
Author: AgentSecOps

中リスク 🌐 ネットワークアクセス📁 ファイルシステムへのアクセス🔑 環境変数⚙️ 外部コマンド

CheckovでIaCセキュリティをスキャン

インフラチームは、クラウドの設定ミスが本番環境に到達する前に検出する必要があります。このスキルは、Checkovスキャン、コンプライアンスマッピング、CIゲート、抑制、修復レポート作成を支援します。

対応: Claude Codex Code(CC)

⚠️ 50 貧弱

スキルZIPをダウンロード

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロードへ移動

オンにして利用開始

Agent向けリソース

AI Agent、クローラー、またはスクリプトがページ全体ではなくクリーンなコンテキストを必要とする場合は、これらのリンクを使ってください。

Markdown詳細 GET /skills/agentsecops-iac-checkov.md 署名済みmanifest GET /api/skills/agentsecops-iac-checkov/manifest 署名済みlockfile GET /api/skills/agentsecops-iac-checkov/lockfile

テストする

「iac-checkov」を使用しています。マージ前にTerraformフォルダをスキャンする。

期待される結果:

Terraformフレームワーク選択と重大度しきい値を含む推奨Checkovコマンド。
重大、高、中、スキップされたチェック別にまとめた短い検出事項サマリー。
影響を受けるリソースとより安全な設定オプションを特定する修復メモ。

「iac-checkov」を使用しています。 IaCスキャン用のCIワークフローを作成する。

期待される結果:

Checkovをインストールし、スキャンを実行し、成果物を保存し、重大な検出事項で失敗するパイプライン概要。
SARIFまたはJSONレポートをセキュリティレビュープロセスに公開するためのガイダンス。
レポート保持と不要なシークレット露出を避けるための注意点。

「iac-checkov」を使用しています。提案されたCheckov抑制をレビューする。

期待される結果:

ビジネス上の必要性、代替コントロール、期限、承認責任者を確認する意思決定チェックリスト。
可能な場合は、抑制を1つのリソースと1つのチェックに限定する推奨事項。

セキュリティ監査

中リスク

v6 • 6/28/2026

Static analysis flagged many command, network, secret, and blocker keywords, but review found they are primarily Checkov usage examples, CI templates, and security policy terminology. No prompt injection attempt or malicious exfiltration intent was found. The skill still carries medium operational risk because it instructs users to run external scanners, read IaC files and reports, optionally download external modules, and use cloud security integrations.

スキャンされたファイル

2,451

解析された行数

検出結果

総監査数

中リスクの問題 (3)

SKILL.md:39-61 assets/github_actions.yml:146-157 assets/gitlab_ci.yml:132-156

External Scanner Commands Are Central to Skill Operation

The skill instructs users and CI systems to install and run Checkov, parse scan output with shell tools, and generate reports. This is legitimate for an IaC security skill, but it can execute local tools over large workspace paths and should be run only in trusted project contexts.

assets/checkov_config.yaml:46-75 SKILL.md:652-657 assets/pre_commit_config.yaml:7-10

Optional Network Access and Cloud Integration

Examples enable downloading external Terraform modules and show optional Prisma Cloud or Bridgecrew integration through an API key variable. These patterns are legitimate, but they can contact third-party services and may expose metadata if configured carelessly.

SKILL.md:455-463 SKILL.md:221-227 assets/github_actions.yml:175-176

IaC and Secret Scan Outputs May Contain Sensitive Context

The skill encourages secrets scanning and report generation over infrastructure files. Scan inputs and generated JSON or SARIF reports can contain resource names, paths, misconfiguration details, and sometimes secret-like values.

低リスクの問題 (2)

references/compliance_mapping.md:1-14 references/custom_policies.md:247-260 SKILL.md:396-403

Static Blocker Keywords Are Contextual False Positives

Several static hits for weak cryptography, command-and-control terminology, and Windows SAM are references to compliance controls, Checkov categories, or AWS SAM templates. They do not instruct the model to perform offensive activity.

references/suppression_guide.md:19-31 references/suppression_guide.md:216-226 references/suppression_guide.md:233-240

Suppression Examples Require Governance

The suppression guide includes examples that bypass specific Checkov checks for legacy or public resources. The guide also asks for justifications, but users could copy suppressions without approval.

リスク要因

🌐 ネットワークアクセス (5)

SKILL.md:19-21 SKILL.md:652-657 assets/checkov_config.yaml:46-75 assets/pre_commit_config.yaml:7-10 assets/pre_commit_config.yaml:75-87

📁 ファイルシステムへのアクセス (4)

assets/checkov_config.yaml:21-29 assets/github_actions.yml:175-176 SKILL.md:115-117 SKILL.md:621-625

🔑 環境変数 (2)

assets/checkov_config.yaml:73-75 SKILL.md:652-657

⚙️ 外部コマンド (5)

SKILL.md:39-61 SKILL.md:221-233 assets/github_actions.yml:146-157 assets/gitlab_ci.yml:132-156 references/compliance_mapping.md:176-214

検出されたパターン

Shell and CI Command Execution ExamplesNetwork-Enabled Dependency and Module Retrieval

監査者: codex 監査履歴を表示 →

品質スコア

アーキテクチャ

100

保守性

コンテンツ

コミュニティ

セキュリティ

仕様準拠

作れるもの

マージ前のIaCセキュリティゲート

プルリクエストにCheckovスキャンを追加し、重大または高重大度の検出事項がある場合にビルドを失敗させます。

コンプライアンス証跡の準備

Checkovレポートを生成し、検出事項を一般的なクラウドセキュリティ管理ファミリーにマッピングします。

カスタムポリシーの展開

組織固有のCheckovポリシーを作成し、外部チェックディレクトリ経由で読み込みます。

これらのプロンプトを試す

基本的なIaCスキャンを実行する

iac-checkov skillを使ってTerraformディレクトリをスキャンし、主要なセキュリティ検出事項を平易な言葉で説明してください。

プルリクエストゲートを追加する

iac-checkov skillを使って、TerraformおよびKubernetesファイルに対する重大および高重大度のCheckov検出事項で失敗するCIゲートを設計してください。

コンプライアンスレポートを準備する

iac-checkov skillを使って、CIS AWSおよびPCI-DSSの証跡収集向けCheckovレポート作成ワークフローを生成してください。

カスタムポリシーを作成する

iac-checkov skillを使って、AWSリソース全体に必須タグを適用するカスタムCheckovポリシーのドラフトを作成し、そのテスト方法を説明してください。

ベストプラクティス

有用な最小範囲のIaCに対してスキャンを実行し、生成されたレポートはアクセス制御された状態に保ちます。
重大および高重大度の検出事項でCIを失敗させ、中重大度の検出事項は修復計画のために追跡します。
すべてのCheckov抑制について、書面による理由、所有者、期限を必須にします。

回避

セキュリティ承認なしに広範な抑制を本番環境へコピーしないでください。
モジュールソースの信頼性を確認せずに、CIで外部モジュールのダウンロードを有効にしないでください。
リソース名、パス、またはシークレットのような値が含まれる場合、生のCheckovレポートを公開しないでください。

よくある質問

このスキルはCheckovを自動で実行しますか？

コマンドとワークフローのガイダンスを提供します。ユーザーまたは自動化環境が、適切な権限でCheckovを実行する必要があります。

どのIaC形式に対応していますか？

Terraform、Kubernetes、CloudFormation、Dockerfile、Helm、ARM、serverless、および関連するCheckov対応フレームワークを対象とします。

コンプライアンス監査を支援できますか？

Checkovの証跡と管理項目マッピングを準備できますが、最終的なコンプライアンス結論は資格のある監査人が検証する必要があります。

CIで使用できますか？

はい。このスキルには、自動IaCスキャン向けのGitHub Actions、GitLab CI、pre-commitパターンが含まれています。

抑制はどのように扱うべきですか？

具体的な理由、所有者、承認経路、期限を含む限定的な抑制を使用してください。

どのデータを保護すべきですか？

IaCファイル、スキャンレポート、APIキー、リポジトリメタデータ、およびスキャン中に検出されたシークレットのような値を保護してください。

開発者の詳細

作成者

AgentSecOps

ライセンス

MIT

リポジトリ

https://github.com/AgentSecOps/SecOpsAgentKit/tree/main/skills/devsecops/iac-checkov

参照

main

ファイル構成

📁 assets/

📄 checkov_config.yaml

📄 github_actions.yml

📄 gitlab_ci.yml

📄 pre_commit_config.yaml

📁 references/

📄 compliance_mapping.md

📄 custom_policies.md

📄 EXAMPLE.md

📄 suppression_guide.md

📄 SKILL.md