スキル sbom-syft
📦

sbom-syft

中リスク ⚙️ 外部コマンド🌐 ネットワークアクセス📁 ファイルシステムへのアクセス🔑 環境変数⚡ スクリプトを含む

SyftでSBOMを生成

ソフトウェアチームには、イメージ、アーカイブ、アプリケーションフォルダーに対する信頼性の高い依存関係インベントリが必要です。このスキルは、SyftによるSBOM生成、レビュー、CIでの利用、および後続の脆弱性分析やライセンス分析を支援します。

対応: Claude Codex Code(CC)
⚠️ 50 貧弱
1

スキルZIPをダウンロード

2

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロードへ移動

3

オンにして利用開始

Agent向けリソース

AI Agent、クローラー、またはスクリプトがページ全体ではなくクリーンなコンテキストを必要とする場合は、これらのリンクを使ってください。

Markdown詳細 GET /skills/agentsecops-sbom-syft.md 署名済みmanifest GET /api/skills/agentsecops-sbom-syft/manifest 署名済みlockfile GET /api/skills/agentsecops-sbom-syft/lockfile

テストする

「sbom-syft」を使用しています。 nginxのSBOMを生成し、結果を説明してください。

期待される結果:

回答では、イメージ向けのSyftコマンドを推奨し、幅広いツールサポートのためにCycloneDX JSONを選択し、SBOMファイルの出力先を説明します。

「sbom-syft」を使用しています。 GitHub ActionsビルドにSBOM生成を追加してください。

期待される結果:

回答では、Anchoreツールを使用したパイプラインステップ、成果物アップロード、脆弱性スキャン、本番環境向けの強化メモを概説します。

「sbom-syft」を使用しています。 2つのリリース間で依存関係を比較してください。

期待される結果:

回答では、2つのSyft SBOMを生成し、パッケージの変更を比較し、リリース承認前に追加または削除されたコンポーネントをレビューする方法を説明します。

セキュリティ監査

中リスク
v6 • 6/28/2026

Static analysis reported many command, network, environment, filesystem, and script patterns. Review found no malicious intent or prompt injection; most findings are documentation examples or CI templates. Two template patterns remain risky if copied into production without hardening: remote script execution through curl to bash and plaintext registry credential examples.

5
スキャンされたファイル
2,012
解析された行数
10
検出結果
6
総監査数
中リスクの問題 (2)
assets/ci-config-template.yml:240
Remote Installer Piped to Shell in CI Template
The CI template downloads a tfsec install script from a remote URL and pipes it directly to bash. This appears to be a legitimate IaC scanning example, but it creates supply chain execution risk if users copy it without version pinning or integrity verification.
SKILL.md:195-201
Plaintext Registry Credential Example
The Syft configuration example shows registry authentication with username and password fields in a .syft.yaml file. The values are placeholders, not real secrets, but users could copy the pattern into a committed repository and expose registry credentials.
低リスクの問題 (3)
SKILL.md:41-50references/WORKFLOW_CHECKLIST.md:71-82
Static Command Findings Are Mostly Tutorial Commands
Most external command findings are markdown examples for running Syft, Docker, Grype, cosign, jq, or CI scanners. They are not hidden execution logic inside the skill runtime, but users should still review commands before running them.
assets/rule-template.yaml:153-165references/EXAMPLE.md:135-138references/EXAMPLE.md:271-279
Vulnerable Code Snippets Are Intentional Examples
Script, secret, weak cryptography, C2 keyword, and injection findings in rule and reference files are intentional vulnerable examples or framework mappings. They support security education and rule templates rather than operational malicious behavior.
assets/ci-config-template.yml:161-165
GitHub Token Access Is Scoped to a Secrets Scanner Action
The GitHub token pattern appears in a Gitleaks CI action environment block. It uses GitHub Actions secrets syntax for a scanner integration and is not a hardcoded credential in the repository.

リスク要因

⚙️ 外部コマンド (3)
SKILL.md:41-50 assets/ci-config-template.yml:240 references/WORKFLOW_CHECKLIST.md:71-82
🌐 ネットワークアクセス (3)
assets/ci-config-template.yml:240 SKILL.md:487-492 assets/rule-template.yaml:42-45
📁 ファイルシステムへのアクセス (3)
assets/ci-config-template.yml:321-323 SKILL.md:176-193 SKILL.md:429-438
🔑 環境変数 (3)
assets/ci-config-template.yml:161-165 assets/rule-template.yaml:146-165 references/EXAMPLE.md:422-425
⚡ スクリプトを含む (2)
references/EXAMPLE.md:135-138 assets/rule-template.yaml:153-165

検出されたパターン

Pipe to Shell Installation PatternPlaintext Credential Configuration Pattern
監査者: codex 監査履歴を表示 →

品質スコア

55
アーキテクチャ
100
保守性
87
コンテンツ
73
コミュニティ
49
セキュリティ
91
仕様準拠

作れるもの

リリースSBOMを作成

各コンテナイメージまたはアプリケーションリリース向けに、CycloneDXまたはSPDXのSBOM成果物を生成します。

オープンソースの露出をレビュー

Syftの出力を使用して、脆弱性トリアージの前にパッケージ、ライセンス、依存関係の変更を確認します。

サプライチェーンチェックをCIに追加

SBOM生成、成果物アップロード、脆弱性スキャンをビルドパイプラインに統合します。

これらのプロンプトを試す

基本的なイメージSBOMを生成 
Use the sbom-syft skill to help me generate a CycloneDX SBOM for the container image IMAGE_NAME. Explain each command and output file.
プロジェクトディレクトリをスキャン 
Use the sbom-syft skill to create an SBOM workflow for this project directory. Recommend a format and explain how to review detected packages.
CI SBOMワークフローを設計 
Use the sbom-syft skill to design a CI workflow that generates an SBOM, uploads it as an artifact, and scans it for vulnerabilities.
署名付きSBOMアテステーションを計画 
Use the sbom-syft skill to plan a signed SBOM attestation process for production images, including format choice, storage, verification, and risk controls.

ベストプラクティス

  • すべてのリリースイメージに対してSBOMを生成し、リリース成果物とともに保存します。
  • 下流のスキャナー、監査担当者、または顧客が標準形式を必要とする場合は、CycloneDXまたはSPDXを使用します。
  • SBOMは内部パッケージ名、バージョン、アーキテクチャの詳細を明らかにする可能性があるため、保護します。

回避

  • サンプルのレジストリ認証情報を、コミットされるプロジェクト設定ファイルにコピーしないでください。
  • 本番パイプラインでは、未検証のリモートシェルスクリプトを通じてCIツールをインストールしないでください。
  • SBOM生成だけを、脆弱性の修復やライセンス承認と見なさないでください。

よくある質問

このスキルは何の生成を支援しますか?
コンテナイメージ、ローカルファイルシステム、OCIアーカイブ、Dockerアーカイブ向けに、SyftでSBOMを生成するのに役立ちます。
どのSBOM形式が対象ですか?
このスキルは、CycloneDX JSONとXML、SPDX JSONとtag-value、Syft JSON、text、GitHub、template出力を扱います。
脆弱性をスキャンできますか?
Grypeなどのツールで生成済みSBOMを使用する方法を説明しますが、それ自体でスキャンを行うわけではありません。
CI/CDで使用できますか?
はい。GitHub Actions、GitLab CI、Jenkinsワークフロー向けの例を含みます。
プライベートレジストリに対応していますか?
レジストリ認証のオプションを説明します。ユーザーは認証情報を承認済みのシークレットマネージャーまたはCIシークレットに保存する必要があります。
生成されたSBOMは自動的に信頼されますか?
いいえ。本番用SBOMは安全に保存し、レビューし、プロビナンスが重要な場合は署名またはアテステーションを行う必要があります。

開発者の詳細

作成者

AgentSecOps

ライセンス

MIT

リポジトリ

https://github.com/AgentSecOps/SecOpsAgentKit/tree/main/skills/secsdlc/sbom-syft

参照

main

ファイル構成

📁 assets/

📄 ci-config-template.yml

📄 rule-template.yaml

📁 references/

📄 EXAMPLE.md

📄 WORKFLOW_CHECKLIST.md

📄 SKILL.md