スキル policy-opa

📦

policy-opa

Name: policy-opa
Author: AgentSecOps

中リスク ⚙️ 外部コマンド🌐 ネットワークアクセス

OPAでPolicy-as-Codeを強制する

セキュリティチームには、Kubernetes、インフラストラクチャ、コンプライアンスワークフロー全体で再現可能なポリシーチェックが必要です。このスキルは、一貫した検証のためのOPAとRegoのガイダンス、テンプレート、CI例を提供します。

対応: Claude Codex Code(CC)

⚠️ 50 貧弱

スキルZIPをダウンロード

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロードへ移動

オンにして利用開始

Agent向けリソース

AI Agent、クローラー、またはスクリプトがページ全体ではなくクリーンなコンテキストを必要とする場合は、これらのリンクを使ってください。

Markdown詳細 GET /skills/agentsecops-policy-opa.md 署名済みmanifest GET /api/skills/agentsecops-policy-opa/manifest 署名済みlockfile GET /api/skills/agentsecops-policy-opa/lockfile

テストする

「policy-opa」を使用しています。 Kubernetes Pod manifestに特権コンテナが含まれており、seccomp profileがありません。

期待される結果:

レビューでは高リスクのpodセキュリティ違反を指摘し、特権モードが安全でない理由を説明し、非root実行、capabilitiesの削除、seccomp profileを推奨します。

「policy-opa」を使用しています。 Terraform planが公開データベースとインターネットに開放されたSSHルールを作成します。

期待される結果:

出力は重大なインフラストラクチャ検出事項を特定し、それらを修復アクションに対応付け、修正されるまでCIでデプロイをブロックすることを提案します。

「policy-opa」を使用しています。チームがOPAチェックをSOC2統制と整合させる方法を尋ねています。

期待される結果:

応答では、統制別のポリシーパッケージ、監査に適した違反メッセージ、テストカバレッジの期待値、証跡保持ガイダンスを提案します。

セキュリティ監査

中リスク

v6 • 6/28/2026

Static analysis reported many high-severity patterns, but review found no prompt injection, malware behavior, or credential exfiltration. Most hits are false positives from Rego policy examples, compliance terms, public reference URLs, and defensive security vocabulary. The skill is medium risk because CI examples run shell commands and download OPA over the network, which users should review before copying into pipelines.

スキャンされたファイル

3,721

解析された行数

検出結果

総監査数

中リスクの問題 (2)

assets/ci-cd-pipeline.yaml:31 assets/ci-cd-pipeline.yaml:166 assets/ci-cd-pipeline.yaml:214

CI Examples Execute Shell Commands and External Tools

Verdict: TRUE_POSITIVE. The GitHub and GitLab CI examples use shell command substitution, Terraform, jq, curl, and OPA commands. This is legitimate for a policy-as-code skill, but copied pipelines can execute in privileged CI contexts and should be reviewed before use.

assets/ci-cd-pipeline.yaml:107 assets/ci-cd-pipeline.yaml:220 references/iac-policies.md:612

Terraform Plan Examples May Process Sensitive Deployment Data

Verdict: NEEDS_REVIEW. The examples generate Terraform plan JSON and evaluate it with OPA. Terraform plan data can include sensitive values depending on provider behavior, so CI logs and artifacts should avoid exposing raw plan contents.

低リスクの問題 (4)

assets/soc2-compliance.rego:1-5 assets/terraform-security.rego:54-78 references/compliance-frameworks.md:3-7

Rego Security Keywords Misclassified as Malicious Indicators

Verdict: FALSE_POSITIVE. Terms such as deny, control, encryption, privileged, and network appear in defensive OPA policies. They describe controls that block insecure Kubernetes, Terraform, SOC2, PCI-DSS, and GDPR configurations.

SKILL.md:36-46 references/rego-patterns.md:18-25 references/kubernetes-security.md:19-37

Markdown Code Fences Misclassified as Ruby Backtick Execution

Verdict: FALSE_POSITIVE. Static analysis flagged many fenced Rego and YAML examples as backtick execution. These are documentation blocks, not Ruby strings or executable code in the skill runtime.

assets/k8s-pod-security.rego:3-4 assets/k8s-constraint-template.yaml:32-33 assets/gdpr-compliance.rego:3

Future Keyword Imports Misclassified as Certificate or Key Files

Verdict: FALSE_POSITIVE. Static analysis treated Rego import statements containing future.keywords as certificate or key references. These imports enable Rego syntax features and do not read secrets or key material.

SKILL.md:19-21 references/iac-policies.md:320-330 references/kubernetes-security.md:547-550

Public URLs and Example Network Ranges Are Benign References

Verdict: FALSE_POSITIVE. Most hardcoded URLs are public documentation links, and 0.0.0.0/0 appears as an insecure network range that policies detect. These examples do not exfiltrate data.

リスク要因

⚙️ 外部コマンド (5)

assets/ci-cd-pipeline.yaml:31 assets/ci-cd-pipeline.yaml:166 SKILL.md:36-46 SKILL.md:152-156 references/iac-policies.md:605-612

🌐 ネットワークアクセス (5)

assets/ci-cd-pipeline.yaml:214 SKILL.md:19-21 SKILL.md:237 references/compliance-frameworks.md:503-507 references/kubernetes-security.md:547-550

検出されたパターン

Shell Command Substitution in CI LogicNetwork Binary Download Without Checksum Verification

監査者: codex 監査履歴を表示 →

品質スコア

アーキテクチャ

100

保守性

コンテンツ

コミュニティ

セキュリティ

仕様準拠

作れるもの

Kubernetesデプロイメントを検証する

特権コンテナ、host namespace、安全でないcapabilities、不足しているsecurity context設定をブロックするOPAまたはGatekeeperポリシーを作成します。

Apply前にTerraform Plansをチェックする

公開データベース、開放されたセキュリティグループ、不足している暗号化、ワイルドカードIAM権限、脆弱なバックアップ設定についてTerraform plan JSONをレビューします。

統制をコンプライアンス証跡に対応付ける

SOC2、PCI-DSS、GDPRのポリシー例を使用して、技術的チェックを統制名、重大度、修復メッセージに結び付けます。

これらのプロンプトを試す

基本的なOPAポリシーを作成する

特権コンテナを実行しているKubernetes Podsを拒否するOPA Regoポリシーを作成してください。短い説明と1つの正常系テストケースを含めてください。

Kubernetes Manifestをレビューする

バンドルされているpodセキュリティガイダンスに照らして、このKubernetes manifestをレビューしてください。ポリシー違反、重大度、実践的な修復手順を一覧化してください。

Terraformセキュリティチェックを構築する

このTerraform planに対して、公開RDSインスタンス、インターネットに開放されたSSH、暗号化されていないS3 bucketsを検出するOPAポリシーを書いてください。

コンプライアンスポリシーセットを設計する

SOC2およびPCI-DSSの証跡収集のためのOPAポリシー構造を設計してください。packages、統制マッピング、テスト戦略、CIロールアウトガイダンスを含めてください。

ベストプラクティス

強制適用を有効にする前に、すべてのRegoルールを許可例と拒否例でテストしてください。
CIツールのバージョンを固定し、ポリシーチェックを実行する前にダウンロードしたバイナリを検証してください。
監査モードから開始し、違反をレビューしてから、信頼度の高いポリシーをブロックモードに移行してください。

回避

権限とネットワークダウンロードをレビューせずに、CI例を本番パイプラインへコピーしないでください。
シークレット、トークン、または生の機密Terraform plan値をポリシーやログに埋め込まないでください。
ローカルの統制検証なしに、汎用的なコンプライアンステンプレートをコンプライアンスの証明として扱わないでください。

よくある質問

このスキルは何の作成を支援しますか？

OPA Regoポリシー、Gatekeeper制約、コンプライアンスチェック、CI検証ワークフローの作成を支援します。

Kubernetesアドミッションコントロールを強制できますか？

はい。安全でないPodsやワークロード設定をブロックするためのGatekeeper例とRegoパターンが含まれています。

すぐに実行できるスクリプトは含まれていますか？

ドキュメントではヘルパースクリプトが参照されていますが、それらのスクリプトはスキャンされたファイルツリーには存在しません。

公開しても安全ですか？

はい、中程度のリスク警告付きです。ユーザーは使用前にCIコマンドをレビューし、ネットワークダウンロードを検証する必要があります。

どのコンプライアンスフレームワークがカバーされていますか？

テンプレートはSOC2、PCI-DSS、GDPR、HIPAA、NIST、ISO 27001形式の統制マッピングをカバーしています。

これは正式なコンプライアンス監査の代替になりますか？

いいえ。技術的な検証と証跡収集を支援しますが、正式なコンプライアンス判断には有資格者によるレビューが必要です。

開発者の詳細

作成者

AgentSecOps

ライセンス

MIT

リポジトリ

https://github.com/AgentSecOps/SecOpsAgentKit/tree/main/skills/compliance/policy-opa

参照

main

ファイル構成

📁 assets/

📄 ci-cd-pipeline.yaml

📄 gdpr-compliance.rego

📄 k8s-constraint-template.yaml

📄 k8s-constraint.yaml

📄 k8s-pod-security.rego

📄 pci-dss-compliance.rego

📄 soc2-compliance.rego

📄 terraform-security.rego

📁 references/

📄 compliance-frameworks.md

📄 EXAMPLE.md

📄 iac-policies.md

📄 kubernetes-security.md

📄 rego-patterns.md

📄 SKILL.md