スキル skill-name

📦

skill-name

Name: skill-name
Author: AgentSecOps

高リスク ⚙️ 外部コマンド🌐 ネットワークアクセス📁 ファイルシステムへのアクセス🔑 環境変数⚡ スクリプトを含む

セキュリティ運用スキルテンプレートの構築

セキュリティチームには、レビュー、ルール、CIセキュリティチェックのための反復可能なワークフローが必要です。このスキルは、AppSec、DevSecOps、コンプライアンス、インシデント対応業務向けの再利用可能なテンプレートを提供します。

対応: Claude Codex Code(CC)

⚠️ 38 貧弱

スキルZIPをダウンロード

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロードへ移動

オンにして利用開始

Agent向けリソース

AI Agent、クローラー、またはスクリプトがページ全体ではなくクリーンなコンテキストを必要とする場合は、これらのリンクを使ってください。

Markdown詳細 GET /skills/agentsecops-skill-name.md 署名済みmanifest GET /api/skills/agentsecops-skill-name/manifest 署名済みlockfile GET /api/skills/agentsecops-skill-name/lockfile

テストする

「skill-name」を使用しています。リクエスト: Webアプリケーション向けのセキュリティ評価チェックリストを作成してください。

期待される結果:

エントリーポイント、認証、認可、データフロー、統制、検出事項、レポート作成を網羅する段階的なチェックリスト。
各ステップには、期待される証跡と重大度の判断ポイントが含まれます。

「skill-name」を使用しています。リクエスト: CIセキュリティスキャンワークフローを改善してください。

期待される結果:

SAST、依存関係、シークレット、コンテナ、IaCスキャンを含む改訂済みのパイプライン計画。
この計画では、固定されたツール、最小権限、保持される成果物、プルリクエストへのフィードバックを明示します。

「skill-name」を使用しています。リクエスト: 弱いハッシュ化の問題をセキュリティ標準にマッピングしてください。

期待される結果:

OWASP Cryptographic FailuresとCWEの弱いアルゴリズムのマッピングを含む検出事項の要約。
修復策では、最新のハッシュ化の選択肢と検証手順を推奨します。

セキュリティ監査

高リスク

v6 • 6/28/2026

Static analysis found many command, network, secret, filesystem, and script patterns. Most are false positives from security training examples and rule templates, but the CI asset contains a real remote installer piped directly into a shell. No confirmed malicious intent or prompt injection was found, but the unsafe CI pattern and unfinished template quality make this unsuitable for publication without remediation.

スキャンされたファイル

1,677

解析された行数

検出結果

総監査数

高リスクの問題 (1)

assets/ci-config-template.yml:240

Remote Installer Piped to Shell

The CI template downloads a third-party installer over the network and executes it directly with a shell. This is a true positive because users copying the template would run unauthenticated remote code in CI unless they replace this pattern with a pinned, verified installation method.

中リスクの問題 (2)

assets/ci-config-template.yml:134 assets/ci-config-template.yml:164 assets/ci-config-template.yml:250 assets/ci-config-template.yml:323

Executable CI Template Requires Trust Review

The CI asset is designed to run security scanners, parse reports, read generated files, and post pull request comments. These actions are legitimate for DevSecOps, but they should be reviewed before publication because they combine external commands, filesystem reads, network-based actions, and GitHub token access.

SKILL.md:3-11 SKILL.md:13-16 SKILL.md:133-151

Unfinished Generic Skill Template

The primary skill file still contains placeholders for name, maintainer, category, patterns, troubleshooting, and examples. This is not a direct exploit, but it increases operational risk because users may copy incomplete security guidance into production workflows.

低リスクの問題 (2)

assets/rule-template.yaml:128-165 assets/rule-template.yaml:268-299 references/EXAMPLE.md:135-162 references/EXAMPLE.md:235-279 references/WORKFLOW_CHECKLIST.md:177-195

Security Example Snippets Trigger Static Patterns

The hardcoded secrets, weak crypto, XSS, C2, malware, and reconnaissance hits are mostly examples inside security rule or reference documentation. They demonstrate vulnerable and fixed patterns rather than executing those patterns as part of the skill.

assets/rule-template.yaml:43-45 assets/rule-template.yaml:191-193 SKILL.md:155-157

Reference Links Are Documentation URLs

Most hardcoded URL findings point to OWASP, CWE, example.com, or security documentation references. These are expected documentation links and do not show data exfiltration.

リスク要因

⚙️ 外部コマンド (5)

assets/ci-config-template.yml:134 assets/ci-config-template.yml:250 assets/ci-config-template.yml:291 references/WORKFLOW_CHECKLIST.md:74 SKILL.md:75

🌐 ネットワークアクセス (3)

assets/ci-config-template.yml:240 assets/rule-template.yaml:43-45 SKILL.md:155-157

📁 ファイルシステムへのアクセス (1)

assets/ci-config-template.yml:323

🔑 環境変数 (3)

assets/ci-config-template.yml:164 assets/rule-template.yaml:147-148 references/EXAMPLE.md:423-425

⚡ スクリプトを含む (1)

references/EXAMPLE.md:137-138

検出されたパターン

Pipe to Shell in Reusable CI Asset

監査者: codex 監査履歴を表示 →

品質スコア

アーキテクチャ

100

保守性

コンテンツ

コミュニティ

セキュリティ

100

仕様準拠

作れるもの

AppSecレビュープレイブックの作成

一般的なセキュリティレビュー手順を、OWASPおよびCWEの参照付きの反復可能なチェックリストに変換します。

DevSecOps CIテンプレートの作成

コード、依存関係、シークレット、コンテナ、IaCを対象とするセキュリティスキャンパイプラインから開始します。

コンプライアンス証跡ワークフローの準備

SOC 2、PCI-DSS、NISTの文脈におけるセキュリティ統制レビュータスクとレポート作成手順を整理します。

これらのプロンプトを試す

基本的なセキュリティチェックリストの作成

このスキルを使用して、私のアプリケーションにおける認証、認可、入力検証、シークレット、ログ記録をレビューするためのチェックリストを作成してください。

検出事項を標準へマッピング

参照テンプレートを使用して、これらの検出事項をOWASP、CWE、MITRE ATT&CK、コンプライアンス統制にマッピングしてください。重大度と修復ガイダンスを含めてください。

CIセキュリティパイプラインの適応

私のリポジトリ向けにCIセキュリティスキャンテンプレートをカスタマイズしてください。安全でないリモートインストーラーを、固定され検証済みのインストール方法に置き換えてください。

インシデント対応ワークフローの構築

認証情報の漏えいが疑われる場合のインシデント対応チェックリストを作成してください。封じ込め、証拠保全、根絶、復旧、フォローアップタスクを含めてください。

ベストプラクティス

生成されたワークフローやテンプレートを使用する前に、プレースホルダーをカスタマイズしてください。
すべてのCIコマンドをレビューし、サードパーティツールを信頼できるバージョンに固定してください。
脆弱なスニペットは例としてのみ扱い、安全な修復ガイダンスと組み合わせてください。

回避

プレースホルダーの名前、カテゴリ、メンテナー項目を残したままテンプレートを公開しないでください。
CIでリモートインストーラースクリプトを直接シェルにパイプしないでください。
サンプルルールをセキュリティプログラムの完全なカバレッジとして扱わないでください。

よくある質問

このスキルはそのまま公開できますか？

いいえ。これは未完成のテンプレートであり、安全でないCIインストーラーパターンが含まれています。

このスキルには悪意が確認されたコードが含まれていますか？

いいえ。悪意が確認された意図は見つかっていません。主な問題は、再利用可能なガイダンスにリスクがあることです。

静的解析で重大な検出事項が多数報告されたのはなぜですか？

多くの検出事項は、脆弱なコードパターンを意図的に示すセキュリティ例に由来します。

公開前に何を修正する必要がありますか？

pipe-to-shellインストーラーを置き換え、プレースホルダーをカスタマイズし、すべてのCI権限とコマンドをレビューしてください。

Claude、Codex、Claude Codeはこのスキルを使用できますか？

はい。メタデータにはClaude、Codex、Claude Codeのサポートが記載されています。

このスキルの最適な用途は何ですか？

完全な本番ポリシーとしてではなく、セキュリティ運用ワークフローの出発点として使用してください。

開発者の詳細

作成者

AgentSecOps

ライセンス

MIT

リポジトリ

https://github.com/AgentSecOps/SecOpsAgentKit/tree/main/skills/_template

参照

main

ファイル構成

📁 assets/

📄 ci-config-template.yml

📄 rule-template.yaml

📁 references/

📄 EXAMPLE.md

📄 WORKFLOW_CHECKLIST.md

📄 SKILL.md