スキル sast-bandit
📦

sast-bandit

中リスク ⚡ スクリプトを含む⚙️ 外部コマンド📁 ファイルシステムへのアクセス🌐 ネットワークアクセス🔑 環境変数

Bandit SASTでPythonコードをスキャン

Pythonチームには、コードが本番環境に到達する前の迅速なセキュリティチェックが必要です。このスキルは、Claude、Codex、Claude CodeがBanditスキャン、優先順位付け、修復計画を進めるためのガイドを提供します。

対応: Claude Codex Code(CC)
⚠️ 50 貧弱
1

スキルZIPをダウンロード

2

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロードへ移動

3

オンにして利用開始

Agent向けリソース

AI Agent、クローラー、またはスクリプトがページ全体ではなくクリーンなコンテキストを必要とする場合は、これらのリンクを使ってください。

Markdown詳細 GET /skills/agentsecops-sast-bandit.md 署名済みmanifest GET /api/skills/agentsecops-sast-bandit/manifest 署名済みlockfile GET /api/skills/agentsecops-sast-bandit/lockfile

テストする

「sast-bandit」を使用しています。 開発者がリリース前にPythonサービスをスキャンしたいと依頼する。

期待される結果:

このスキルは再帰的なBanditスキャンを推奨し、深刻度しきい値を説明し、どの検出結果がリリースをブロックすべきかを強調します。

「sast-bandit」を使用しています。 チームが複数のコマンドインジェクションとハードコードされたシークレットの検出結果を受け取る。

期待される結果:

このスキルは検出結果をCWEおよびOWASPカテゴリ別にグループ化し、想定される影響を説明し、より安全なsubprocessとシークレット処理のパターンを提案します。

「sast-bandit」を使用しています。 DevOpsエンジニアがpre-commitとCIのカバレッジを求めている。

期待される結果:

このスキルは、固定バージョンのpre-commitフック、CIコマンド、しきい値の選択、文書化された例外のためのプロセスを提案します。

セキュリティ監査

中リスク
v6 • 6/28/2026

Static analysis reported many high and critical patterns, but manual review shows they are mostly Bandit rule names, scanner configuration, or vulnerable examples inside documentation. The skill is publishable with a medium warning because it asks users to install and run local security tooling, may scan broad source trees, and may produce reports containing sensitive code snippets.

5
スキャンされたファイル
1,517
解析された行数
10
検出結果
6
総監査数
中リスクの問題 (2)
SKILL.md:34-48SKILL.md:140-158SKILL.md:297
User-Directed Local Command Execution
The skill instructs users to install Bandit and run Bandit CLI commands against local projects. This is legitimate for SAST, but users should approve command scope and package installation.
SKILL.md:165SKILL.md:110-114references/remediation_guide.md:21-31
Security Reports May Expose Sensitive Code Snippets
Bandit output can include code snippets and hardcoded credential examples. The skill warns users to protect reports and use no-code output when sensitive snippets may be present.
低リスクの問題 (3)
assets/bandit_config.yaml:112-117assets/bandit_config.yaml:200-204references/remediation_guide.md:167-187references/remediation_guide.md:365-411
Static Dangerous API Matches Are Documentation Examples
The eval, subprocess, os.system, pickle, weak crypto, and credential patterns appear inside Bandit rule lists or remediation examples. They are presented as vulnerable patterns to detect or fix, not as executable skill code.
assets/pre-commit-config.yaml:20-39assets/pre-commit-config.yaml:100-111assets/pre-commit-config.yaml:136-145
Pinned External Pre-Commit Repositories
The pre-commit asset references public GitHub repositories for linting, security, dependency, and secret checks. This creates normal supply-chain exposure when users install hooks, but versions are pinned.
SKILL.md:1-21
No Prompt Injection Attempt Found
Targeted search found no override language, fake system instructions, pre-approval claims, or instructions to skip security review in the scanned skill files.

リスク要因

⚡ スクリプトを含む (3)
assets/bandit_config.yaml:200-204 references/cwe_owasp_mapping.md:57-76 references/remediation_guide.md:365-411
⚙️ 外部コマンド (4)
SKILL.md:34-48 SKILL.md:140-158 SKILL.md:274 assets/bandit_config.yaml:112-117
📁 ファイルシステムへのアクセス (3)
assets/bandit_config.yaml:5-31 SKILL.md:41-48 SKILL.md:165
🌐 ネットワークアクセス (3)
assets/pre-commit-config.yaml:20-39 assets/pre-commit-config.yaml:100-145 SKILL.md:301-305
🔑 環境変数 (2)
references/remediation_guide.md:36-50 references/remediation_guide.md:393-416

検出されたパターン

Bandit Shell Injection API ListRemediation Guide Contains Vulnerable Code Samples
監査者: codex 監査履歴を表示 →

品質スコア

55
アーキテクチャ
100
保守性
87
コンテンツ
73
コミュニティ
49
セキュリティ
91
仕様準拠

作れるもの

Python Pull Requestをレビューする

変更されたPythonファイルに対してBanditを実行し、マージ前にセキュリティ検出結果を要約します。

CIにセキュリティゲートを追加する

パイプラインが中または高深刻度の問題をブロックするようにBanditのしきい値を設定します。

レガシーな検出結果を修復する

Banditの結果をCWEおよびOWASPカテゴリにマッピングし、優先度に基づいて修正を計画します。

これらのプロンプトを試す

基本スキャンを実行する 
Bandit SASTスキルを使用して、このPythonプロジェクトをスキャンしてください。コマンド、想定される出力、深刻度と信頼度の読み方を説明してください。
Banditを設定する 
このPythonリポジトリ向けのBandit設定を作成するのを手伝ってください。生成ファイルとテストは除外しますが、重要なセキュリティチェックは有効のままにしてください。
検出結果の優先順位を付ける 
これらのBandit検出結果をレビューし、リスク別にグループ化してください。各グループをCWEとOWASPにマッピングし、修正順序を推奨してください。
CI適用を設計する 
このPythonサービス向けのBandit CIゲートを設計してください。深刻度しきい値、レポート処理、誤検知ワークフロー、ロールアウト段階を含めてください。

ベストプラクティス

  • ソースコードへのアクセスを最小権限にしたサンドボックス環境またはCI環境でスキャンを実行します。
  • 検出結果によって認証情報や機密スニペットが露出する可能性がある場合は、no-codeレポート出力を使用します。
  • すべてのnosec抑制について、明確な理由とレビュー担当者を文書化します。

回避

  • 意図したプロジェクト範囲を確認せずに、広範なファイルシステムパスをスキャンしないでください。
  • レビューなしに、信頼度の低いBandit検出結果を実証済みの脆弱性として扱わないでください。
  • シークレット、パス、またはプロプライエタリなコードスニペットを含む生のBanditレポートを公開しないでください。

よくある質問

このスキルは何をスキャンしますか?
Pythonソースコードに対するBanditスキャンをガイドし、結果として得られるセキュリティ検出結果を説明します。
Banditを自動的にインストールしますか?
インストールコマンドを提供しますが、ユーザーは自身の環境でのパッケージインストールを承認する必要があります。
Python以外のプロジェクトをスキャンできますか?
いいえ。BanditはPython向けに設計されています。JavaScript、Java、Go、またはインフラストラクチャコードには他のツールを使用してください。
検出結果をコンプライアンスフレームワークにマッピングしますか?
一般的なBanditチェックについて、CWEおよびOWASP Top 10へのマッピングガイダンスが含まれています。
チームは誤検知をどのように扱うべきですか?
信頼度とコンテキストをレビューし、抑制を文書化し、例外判断にはセキュリティ担当者を関与させ続けてください。
レポートに機密データが含まれることはありますか?
はい。Banditレポートにはコードスニペットやハードコードされたシークレットの例が含まれる場合があるため、アクセスを制限してレポートを保存してください。

開発者の詳細

作成者

AgentSecOps

ライセンス

MIT

リポジトリ

https://github.com/AgentSecOps/SecOpsAgentKit/tree/main/skills/appsec/sast-bandit

参照

main

ファイル構成

📁 assets/

📄 bandit_config.yaml

📄 pre-commit-config.yaml

📁 references/

📄 cwe_owasp_mapping.md

📄 remediation_guide.md

📄 SKILL.md