スキル sast-horusec
📦

sast-horusec

高リスク ⚙️ 外部コマンド🌐 ネットワークアクセス📁 ファイルシステムへのアクセス🔑 環境変数⚡ スクリプトを含む

Horusec SAST レビューを実行する

セキュリティチームには、複数言語が混在するリポジトリ全体で一貫した静的解析が必要です。このスキルは、Horusec スキャン、CI 統合、シークレット検出、レポートレビュー、誤検知の処理を支援します。

対応: Claude Codex Code(CC)
⚠️ 38 貧弱
1

スキルZIPをダウンロード

2

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロードへ移動

3

オンにして利用開始

Agent向けリソース

AI Agent、クローラー、またはスクリプトがページ全体ではなくクリーンなコンテキストを必要とする場合は、これらのリンクを使ってください。

Markdown詳細 GET /skills/agentsecops-sast-horusec.md 署名済みmanifest GET /api/skills/agentsecops-sast-horusec/manifest 署名済みlockfile GET /api/skills/agentsecops-sast-horusec/lockfile

テストする

「sast-horusec」を使用しています。 開発者が、プルリクエストを送信する前のローカル Horusec スキャンワークフローを求めています。

期待される結果:

  • 前提条件と推奨コマンドを含む短いスキャン計画。
  • クリティカルおよび高重大度の検出結果から始めるトリアージチェックリスト。
  • 生成されたレポートにはシークレットが含まれる可能性があるため保護するよう促す注意喚起。

「sast-horusec」を使用しています。 DevOps エンジニアが GitHub Actions に Horusec を導入したいと考えています。

期待される結果:

  • 最小権限と保持される成果物を含むパイプライン概要。
  • 重大度しきい値とチームのリスク許容度に基づく失敗ポリシー。
  • 可能な限り安全でない Docker ソケットや pipe-to-shell のデフォルトを避けるための注意。

「sast-horusec」を使用しています。 セキュリティエンジニアが、繰り返し発生する誤検知の管理について支援を必要としています。

期待される結果:

  • 無視された各検出結果を検証するためのレビュープロセス。
  • リスク受容判断のための文書化モデル。
  • 無視されたハッシュと除外パスを定期的にレビューする周期。

セキュリティ監査

高リスク
v6 • 6/28/2026

Static analysis flagged many command, network, environment, filesystem, and script patterns. Most findings are documentation examples or legitimate SAST workflow guidance, but the Docker socket mount, world-writable Docker socket advice, and pipe-to-shell installers are confirmed high-risk operational patterns. No evidence found of prompt injection or confirmed malicious intent, so the skill is not blocked but should not publish without revisions.

5
スキャンされたファイル
1,876
解析された行数
13
検出結果
6
総監査数

高リスクの問題 (3)

SKILL.md:37-40SKILL.md:213-215
Docker Socket Mounted Into Scanner Container
TRUE_POSITIVE: The skill recommends running Horusec with /var/run/docker.sock mounted into the container. Docker socket access can give a container control over the host Docker daemon, which is a high-impact privilege boundary risk even when used for legitimate scanning.
SKILL.md:252-257
World-Writable Docker Socket Permission Advice
TRUE_POSITIVE: The troubleshooting section advises chmod 666 on /var/run/docker.sock. This grants local users broad access to the Docker daemon and can enable host compromise through container creation.
SKILL.md:293-298assets/ci-config-template.yml:237-240
Pipe-To-Shell Installer Commands
TRUE_POSITIVE: The skill and CI template include commands that download remote shell scripts and pipe them directly to bash. This creates supply-chain risk because the executed content is not pinned, verified, or reviewed before execution.
中リスクの問題 (2)
SKILL.md:47-56SKILL.md:144-157SKILL.md:230-235
Extensive Shell Execution Guidance
NEEDS_REVIEW: The skill is designed to run security scanners, Docker commands, package installers, and report-processing commands. This is expected for a Horusec workflow, but users could run commands against sensitive repositories or CI systems without sandboxing.
assets/ci-config-template.yml:161-164assets/ci-config-template.yml:317-323
CI Token And Repository Automation Exposure
NEEDS_REVIEW: The CI template uses a GitHub token for Gitleaks and reads a generated report before posting a pull request comment. These are legitimate GitHub Actions patterns, but they require least-privilege permissions and careful artifact handling.
低リスクの問題 (3)
assets/rule-template.yaml:132-165references/EXAMPLE.md:135-138references/EXAMPLE.md:272-276
Intentional Vulnerable Code Examples
FALSE_POSITIVE: The hardcoded secrets, weak cryptography, XSS, C2, and reconnaissance terms appear inside security-rule templates or reference examples. They document what a scanner should detect rather than implementing malicious behavior.
SKILL.md:19-20assets/rule-template.yaml:43-45
Documentation URLs And Reference Links
FALSE_POSITIVE: Hardcoded URLs point to Horusec documentation, OWASP, CWE, and security tooling references. These are normal documentation links and do not by themselves indicate data exfiltration.
assets/ci-config-template.yml:161-164references/EXAMPLE.md:422-437
Environment Variable Examples Are Mostly Defensive
FALSE_POSITIVE: Environment variable references are used for GitHub Actions secrets or examples showing how to avoid hardcoded credentials. This is safer than embedding secrets directly, but users should still protect scan results.

リスク要因

⚙️ 外部コマンド (6)
SKILL.md:37-40 SKILL.md:213-215 SKILL.md:256-257 SKILL.md:298 assets/ci-config-template.yml:240 references/WORKFLOW_CHECKLIST.md:74
🌐 ネットワークアクセス (4)
SKILL.md:19-20 SKILL.md:298 assets/ci-config-template.yml:240 assets/rule-template.yaml:43-45
📁 ファイルシステムへのアクセス (1)
assets/ci-config-template.yml:323
🔑 環境変数 (3)
assets/ci-config-template.yml:164 assets/rule-template.yaml:147-148 references/EXAMPLE.md:423-437
⚡ スクリプトを含む (1)
references/EXAMPLE.md:137-138

検出されたパターン

Privileged Docker Socket Bind MountWorld-Writable Docker SocketRemote Installer Piped To Bash
監査者: codex 監査履歴を表示 →

品質スコア

55
アーキテクチャ
100
保守性
87
コンテンツ
72
コミュニティ
0
セキュリティ
100
仕様準拠

作れるもの

コミット前セキュリティレビュー

プルリクエストを作成する前に Horusec をローカルで実行し、重大度の高い検出結果から先にレビューします。

パイプラインセキュリティゲート

SAST、依存関係、シークレット、コンテナ、IaC のスキャンを CI に追加し、セキュリティ成果物を保持します。

セキュリティトリアージワークフロー

Horusec 出力をレビューし、真陽性と誤検知を切り分け、受容したリスクを文書化します。

これらのプロンプトを試す

基本スキャンを実行する 
Horusec ワークフローを使用してこのリポジトリをスキャンしてください。コマンド、想定される出力、最初のトリアージ手順を説明してください。
SAST 検出結果をレビューする 
この Horusec レポートを分析してください。重大度、信頼度、悪用可能性、修正工数に基づいて検出結果に優先順位を付けてください。
CI セキュリティスキャンを追加する 
Horusec スキャンのための安全な CI 計画を作成してください。権限、成果物の取り扱い、失敗しきい値、開発者へのフィードバックを含めてください。
エンタープライズポリシーを調整する 
複数リポジトリを持つ組織向けの Horusec ポリシーを設計してください。除外、誤検知ガバナンス、シークレット対応、監査証跡を扱ってください。

ベストプラクティス

  • ソースコードとシークレットへのアクセスを最小権限にした隔離環境でスキャンを実行します。
  • 検出結果がシークレットの場所や脆弱なパスを露出する可能性があるため、Horusec レポートを機密情報として扱います。
  • すべての誤検知判断について、所有者、理由、有効期限、レビュー周期を文書化します。

回避

  • リスクが正式に受容されていない限り、ホストの Docker ソケットをスキャナーコンテナにマウントしないでください。
  • 本番ワークフローでリモートインストーラースクリプトを直接シェルにパイプしないでください。
  • 証跡、所有者、定期レビューなしに検出結果を恒久的に抑制しないでください。

よくある質問

このスキルは何に役立ちますか?
Horusec の静的解析、CI 統合、シークレット検出、レポートレビュー、誤検知管理を支援します。
Horusec を自動的に実行しますか?
いいえ。対象環境でユーザーまたは自動化システムが実行できるワークフローとコマンドを提供します。
どのツールを想定していますか?
ワークフローに応じて、Horusec、Docker、git、および任意の CI セキュリティツールを想定しています。
実際のシークレットを検出できますか?
Horusec は、git 履歴内の検出を含め、露出したシークレットを検出できます。露出した認証情報は直ちにローテーションする必要があります。
マーケットプレイスのリスクが高いのはなぜですか?
ドキュメントには、Docker ソケットのマウント、chmod 666 Docker ソケットの推奨、pipe-to-shell インストーラーが含まれています。
チームはどのように安全に使用すべきですか?
隔離されたランナーを使用し、特権 Docker アクセスを避け、インストーラーを検証し、レポートと CI トークンへのアクセスを制限してください。

開発者の詳細

作成者

AgentSecOps

ライセンス

MIT

リポジトリ

https://github.com/AgentSecOps/SecOpsAgentKit/tree/main/skills/secsdlc/sast-horusec

参照

main

ファイル構成

📁 assets/

📄 ci-config-template.yml

📄 rule-template.yaml

📁 references/

📄 EXAMPLE.md

📄 WORKFLOW_CHECKLIST.md

📄 SKILL.md