スキル sca-blackduck

📦

sca-blackduck

Name: sca-blackduck
Author: AgentSecOps

中リスク 📁 ファイルシステムへのアクセス⚙️ 外部コマンド🌐 ネットワークアクセス🔑 環境変数⚡ スクリプトを含む

Black Duckで依存関係を監査

オープンソースの依存関係は、脆弱性、ライセンス上の義務、サプライチェーンリスクをもたらす可能性があります。このスキルは、Claude、Codex、Claude CodeがBlack Duck中心のSCAワークフローを実行し、実践的な修復ガイダンスを提供するのに役立ちます。

対応: Claude Codex Code(CC)

⚠️ 50 貧弱

スキルZIPをダウンロード

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロードへ移動

オンにして利用開始

Agent向けリソース

AI Agent、クローラー、またはスクリプトがページ全体ではなくクリーンなコンテキストを必要とする場合は、これらのリンクを使ってください。

Markdown詳細 GET /skills/agentsecops-sca-blackduck.md 署名済みmanifest GET /api/skills/agentsecops-sca-blackduck/manifest 署名済みlockfile GET /api/skills/agentsecops-sca-blackduck/lockfile

テストする

「sca-blackduck」を使用しています。複数の重大な依存関係の検出結果を含むBlack Duckスキャンをレビューする。

期待される結果:

影響を受けるコンポーネント、深刻度、ビジネス影響、修正済みバージョン、担当者、目標日を含む、優先順位付けされた修復レポート。

「sca-blackduck」を使用しています。プルリクエストワークフローにBlack Duckチェックを追加する。

期待される結果:

認証情報、ポリシーゲート、スキャン成果物、SBOM出力、プルリクエストへのフィードバックを網羅したCI統合計画。

「sca-blackduck」を使用しています。本番環境の依存関係に対するライセンスコンプライアンスを評価する。

期待される結果:

高リスクコンポーネント、推奨される代替、ポリシー例外、法務レビュー項目を含むライセンスリスクの要約。

セキュリティ監査

中リスク

v6 • 6/28/2026

Static analysis found many severe-looking patterns, but most are documentation, policy terminology, or intentionally vulnerable examples for SCA education. The real concern is copyable CI guidance that uses network shell installers and handles Black Duck or GitHub secrets. No prompt injection attempt or confirmed malicious intent was found, so publication is acceptable with a security warning.

スキャンされたファイル

4,871

解析された行数

検出結果

総監査数

中リスクの問題 (3)

SKILL.md:42 SKILL.md:53 SKILL.md:189 SKILL.md:280 assets/ci_integration/github_actions.yml:70 assets/ci-config-template.yml:240

Network Script Piped to Shell in Copyable Workflows

The skill and CI templates include ready-to-run commands that download scripts over HTTPS and execute them with bash. This is a real supply chain risk if users adopt the snippets without pinning or verification.

assets/ci_integration/github_actions.yml:41-43 assets/ci-config-template.yml:161-164 assets/ci_integration/jenkins_pipeline.groovy:29-34 assets/blackduck_config.yml:6-11

CI Templates Handle High-Value Secrets

The workflow examples pass GitHub and Black Duck tokens into scanner actions and pipeline environments. This is expected for SCA, but copied templates need strict secret storage and log hygiene.

SKILL.md:151-154 SKILL.md:175-183 SKILL.md:209-215 references/supply_chain_threats.md:532-533

Referenced Helper Scripts Are Not Present

The skill repeatedly instructs users to run helper scripts, but the scanned file tree does not include a scripts directory. Users may follow incomplete guidance or create unreviewed substitutes.

低リスクの問題 (3)

assets/blackduck_config.yml:29-33 assets/policy_templates/security_policy.json:147-154

Hidden File Detections Are Scan Exclusions

Static analysis flagged hidden paths, but the cited lines are exclusion patterns for dependency scan configuration. They do not read hidden files or collect private data.

assets/policy_templates/security_policy.json:7-17 assets/policy_templates/security_policy.json:127-132 references/cve_cwe_owasp_mapping.md:335-348

Security Policy Terms Trigger Weak Crypto and Blocker Rules

Many high-severity static matches are ordinary security policy words such as critical, high, blocklist, and compliance framework names. The context is policy configuration, not cryptographic implementation.

references/EXAMPLE.md:135-141 references/supply_chain_threats.md:185-205

Intentionally Vulnerable Examples in Reference Material

Reference files contain examples of HTML injection, credential exfiltration, command execution, and backdoor patterns. They are clearly presented as unsafe examples for threat education, not as active skill behavior.

リスク要因

📁 ファイルシステムへのアクセス (4)

assets/blackduck_config.yml:29-33 assets/policy_templates/security_policy.json:147-154 assets/ci-config-template.yml:322-323 assets/ci_integration/jenkins_pipeline.groovy:34

⚙️ 外部コマンド (7)

SKILL.md:42 SKILL.md:53 SKILL.md:189 SKILL.md:280 assets/ci_integration/github_actions.yml:70 assets/ci-config-template.yml:240 references/supply_chain_threats.md:199-205

🌐 ネットワークアクセス (4)

SKILL.md:42 assets/ci_integration/github_actions.yml:70 assets/ci-config-template.yml:240 references/supply_chain_threats.md:193-200

🔑 環境変数 (5)

assets/blackduck_config.yml:7-9 assets/ci_integration/github_actions.yml:41-43 assets/ci-config-template.yml:161-164 assets/ci_integration/jenkins_pipeline.groovy:29-34 assets/rule-template.yaml:146-148

⚡ スクリプトを含む (3)

references/EXAMPLE.md:135-141 references/supply_chain_threats.md:185-205 references/remediation_strategies.md:247-257

検出されたパターン

Network Script Piped to Shell in Copyable WorkflowsIntentionally Vulnerable Examples in Reference Material

監査者: codex 監査履歴を表示 →

品質スコア

アーキテクチャ

100

保守性

コンテンツ

コミュニティ

セキュリティ

100

仕様準拠

作れるもの

リリース前に依存関係リスクをレビュー

プロジェクトをスキャンし、重要なCVEをトリアージして、リリース承認に向けた修復優先度を準備します。

CI/CDにSCAゲートを追加

同梱のCIテンプレートを調整し、高リスクな依存関係ポリシー違反がある場合にビルドを失敗させます。

ライセンスとSBOMの準備状況を評価

コンポーネントライセンスをレビューし、ポリシー例外を特定して、監査用のSBOM出力を生成します。

これらのプロンプトを試す

プロジェクトのベースラインをスキャン

Black Duck SCAワークフローを使用して、このリポジトリのベースライン依存関係スキャンを計画してください。マニフェストと必要な認証情報を特定してください。

スキャン結果をトリアージ

これらのBlack Duck検出結果を分析してください。criticalおよびhighのCVEを優先順位付けし、CWEまたはOWASPカテゴリに対応付けて、修正を推奨してください。

CIゲートを準備

このプロジェクト向けのBlack Duck CI/CD統合計画を作成してください。シークレット管理、ポリシーしきい値、成果物、失敗時の動作を含めてください。

サプライチェーンリスクレビューを構築

Black Duckの結果、ライセンスポリシー、SBOM出力、依存関係の健全性シグナルを使用して、サプライチェーンリスク評価を設計してください。

ベストプラクティス

Black Duckトークンは、承認済みのCIシークレットまたはシークレットマネージャーに保存します。
本番パイプラインで使用する前に、ダウンロードしたスキャナーツールを固定し、検証します。
受容したリスクについて、担当者、有効期限、代替コントロールを文書化します。

回避

APIトークンをプロンプト、ログ、リポジトリファイルに貼り付けないでください。
ダウンロードされたスクリプトのソースをレビューせずに、ネットワークインストーラーコマンドを実行しないでください。
追跡可能なビジネス上の正当化なしに、依存関係の検出結果を抑制しないでください。

よくある質問

このスキルはBlack Duckを単独で実行しますか？

いいえ。ワークフロー、テンプレート、ガイダンスを提供します。ユーザーにはBlack Duckへのアクセスと、ローカルまたはCIでの実行環境が必要です。

どのパッケージマネージャーが対象ですか？

このガイダンスは、npm、pip、Maven、Gradle、NuGet、Go modules、Composer、Cargo、コンテナを含む一般的なエコシステムを対象としています。

ライセンスコンプライアンスに役立ちますか？

はい。ライセンスリスクのガイダンスとポリシーテンプレートが含まれていますが、最終判断には法務またはコンプライアンスのレビューが必要です。

SBOMを生成できますか？

Black Duck出力向けのSBOMワークフローについて説明しており、CycloneDXおよびSPDX指向のユースケースを含みます。

本番CIパイプラインで安全に使用できますか？

注意して使用してください。テンプレートを採用する前に、インストーラーコマンドをレビューし、信頼できるツールバージョンを固定し、シークレットを保護してください。

脆弱性管理を置き換えますか？

いいえ。トリアージとレポート作成を支援しますが、チームには引き続き、オーナーシップ、SLA、追跡、リスク受容プロセスが必要です。

開発者の詳細

作成者

AgentSecOps

ライセンス

MIT

リポジトリ

https://github.com/AgentSecOps/SecOpsAgentKit/tree/main/skills/appsec/sca-blackduck

参照

main

ファイル構成

📁 assets/

📁 ci_integration/

📄 github_actions.yml

📄 gitlab_ci.yml

📄 jenkins_pipeline.groovy

📁 policy_templates/

📄 security_policy.json

📄 blackduck_config.yml

📄 ci-config-template.yml

📄 rule-template.yaml

📁 references/

📄 cve_cwe_owasp_mapping.md

📄 EXAMPLE.md

📄 license_risk_guide.md

📄 remediation_strategies.md

📄 supply_chain_threats.md

📄 WORKFLOW_CHECKLIST.md

📄 SKILL.md