スキル firestore-security-rules-auditor
🔒

firestore-security-rules-auditor

安全

Firestoreセキュリティルールの監査

Firestoreセキュリティルールを手動でレビューするのは時間と手間かかり、エラーも起きやすいです。このスキルは包括的なペネトレーションテストチェックリストを使用してセキュリティ監査を自動化し、Firebaseルールの脆弱性を特定します。

対応: Claude Codex Code(CC)
🥉 74 ブロンズ
1

スキルZIPをダウンロード

2

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロードへ移動

3

オンにして利用開始

テストする

「firestore-security-rules-auditor」を使用しています。 rules_version = '2'; service cloud.firestore { match /databases/{database}/documents { match /users/{userId} { allow read: if request.auth != null; allow write: if request.auth.uid == userId; } } }

期待される結果:

スコア: 4(軽微)

結果:
- チェック: 'リソース枯渇'
重要度: 軽微
問題: 'ユーザーデータフィールドに文字列長の制限がない'
推奨事項: 'テキストフィールドにmax()制約を追加'
- チェック: '型安全性'
重要度: 軽微
問題: 'displayNameなどのフィールドに型検証がない'
推奨事項: 'is string、is intチェックを使用'

「firestore-security-rules-auditor」を使用しています。 rules_version = '2'; service cloud.firestore { match /databases/{database}/documents { match /posts/{postId} { allow read: if true; allow write: if request.auth != null; } } }

期待される結果:

スコア: 2(重大)

結果:
- チェック: '権限ソース'
重要度: 重大
問題: '認証済みユーザーが任意の投稿に書き込み可能'
推奨事項: '所有権チェックを追加: resource.data.authorId == request.auth.uid'
- チェック: 'ビジネスロジック'
重要度: 重大
問題: 'ユーザーが他人の投稿を削除できるのを防ぐ制限がない'
推奨事項: '削除操作に所有権を要求'

セキュリティ監査

安全
v1 • 4/22/2026

All 8 static findings evaluated as false positives. The skill is a legitimate Firebase security auditing tool that uses security testing terminology (e.g., 'find the hole in the wall', 'red team', 'penetration testing'). No external commands, cryptographic operations, or system reconnaissance code exists. The file contains only markdown documentation for an AI auditor skill.

1
スキャンされたファイル
45
解析された行数
0
検出結果
1
総監査数
セキュリティ問題は見つかりませんでした

検出されたパターン

Security Terminology False PositiveNon-existent Line Reference
監査者: claude

品質スコア

38
アーキテクチャ
100
保守性
87
コンテンツ
50
コミュニティ
100
セキュリティ
91
仕様準拠

作れるもの

デプロイ前に新しいセキュリティルールをレビュー

更新されたFirestoreルールを出荷する前に、Claudeに貼り付けてセキュリティ監査を依頼。数秒でスコアと実行可能な推奨事項を取得。

セキュリティのベストプラクティスを学ぶ

監査チェックリストと結果を研究して、一般的なFirestoreセキュリティミスの発生源と修正方法を理解。Firebaseセキュリティに不慣れな開発者に最適。

セキュリティコードレビュー支援

正式なセキュリティコードレビューの出発点として使用。AIによる結果により、最初にAddressingすべき脆弱性を優先順位付けできる。

これらのプロンプトを試す

基本的なセキュリティ監査 
Firestoreセキュリティルールの監査を依頼します。ルールの内容は以下の通りです:

[paste your firestore.rules]

セキュリティ監査チェックリストを使用して評価し、スコアと結果を提示してください。
ビジネスコンテキストを含む詳細レビュー 
コラボレーションアプリのFirestoreセキュリティルールをレビューしてください。共同作業者が共有ドキュメントを読み取れるようにし、削除は所有者のみが可能です。ルールの内容は以下の通りです:

[paste rules]

実装はこれらの要件を満たしていますか?
作成と更新ルールの比較 
Firestoreルールに更新バイパス脆弱性があるか確認してください。特に、ユーザーがドキュメントを作成してから'role'または'isAdmin'フィールドを更新して不正な権限を取得できますか?ルールの内容は以下の通りです:

[paste rules]

'create'と'update'ルールを注意深く分析してください。
本番環境への準備チェック 
本番環境にデプロイする前に、これらのFirestoreルールの完全なセキュリティ監査を実施してください。監査チェックリストの6項目すべてをチェックし、1〜5のスコアをつけてください。

ベストプラクティス

  • ドキュメントの書き込みには常に所有権チェックを追加: resource.data.uid == request.auth.uid
  • データ破損を防ぐため、すべてのユーザー提供フィールドに型検証(is string、is int)を使用
  • リソース枯渇攻撃を防ぐため、文字列と配列フィールドにサイズ制限を設定

回避

  • 'role'や'isAdmin'などの機密フィールドにはrequest.resource.dataに依存しない
  • request.auth != null aloneを使用せず、追加の認可チェックなしで使わない
  • ユーザー固有データを含むドキュメントで'allow read: if true'のままにしない

よくある質問

セキュリティ監査スコアはどの程度正確ですか?
AIは厳密な6項目のペネトレーションテストチェックリストに従います。結果はチェックリスト基準に基づいて決定論的です。ただし、アプリ固有のビジネスロジック欠陥は検出できません。
マニュアルのセキュリティレビューを代替えできますか?
このスキルは有用な出発点ですが、本番システムのマニュアルレビューに代わるものではありません。共通のエラーを検出し、セキュリティレビュー作業の優先順位付けに使用してください。
スコア5の意味は何ですか?
スコア5は包括的な検証、厳格な所有権の実施、適切なロールベースのアクセス制御を示します。ルールはFirebaseセキュリティのベストプラクティスを遵守しています。
'重大'とマークされた結果をどのように解釈すればよいですか?
重大な結果は不正なデータアクセス、権限昇格、または検証バイパスを示しています。ルールをデプロイする前にすぐにこれらを修正してください。
Realtime Databaseルールでも動作しますか?
いいえ、このスキルはFirestoreセキュリティルール,专门的に設計されています。構文と機能はRealtime Databaseルールとは異なります。
Firebaseプロジェクトのルールを監査するために使用できますか?
FirebaseコンソールまたはルールファイルからルールをコピーしてClaudeに貼り付けてください。スキルはライブプロジェクトデータではなく、提供されたルールテキストを評価します。

開発者の詳細

作成者

firebase

ライセンス

MIT

リポジトリ

https://github.com/firebase/agent-skills/tree/main/skills/firebase-security-rules-auditor/

参照

main

ファイル構成

📄 SKILL.md