スキル Security Auditor
🛡️

Security Auditor

安全

専門家によるセキュリティ監査とコンプライアンス評価の実施

組織は、開発ワークフローにセキュリティを統合し、コンプライアンス要件を満たすことに苦戦しています。このスキルは、DevSecOps統合、脆弱性評価、規制コンプライアンスガイダンスを含む包括的なセキュリティ監査の専門知識を提供します。

対応: Claude Codex Code(CC)
📊 69 十分
1

スキルZIPをダウンロード

2

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロードへ移動

3

オンにして利用開始

テストする

「Security Auditor」を使用しています。 JWT認証付きREST APIのセキュリティ監査リクエスト

期待される結果:

  • セキュリティ評価サマリー
  • 重大:JWTトークンがlocalStorageに保存されている - XSS脆弱性。推奨事項:httpOnly cookiesとSameSite=Strictを使用
  • 高:認証エンドポイントでレート制限がない - ブルートフォースが可能。推奨事項:指数関数的バックオフ付きのレート制限を実装
  • 中:ユーザー登録時に入力検証がない - インジェクションの可能性。推奨事項:スキーマ検証とサニタイズを追加
  • 低:セキュリティヘッダーが不足。推奨事項:CSP、HSTS、X-Frame-Optionsヘッダーを追加

「Security Auditor」を使用しています。 Node.jsアプリケーション向けDevSecOpsパイプライン設計

期待される結果:

  • CI/CDセキュリティパイプライン設計
  • プリコミット:eslint-plugin-security付きHuskyフック
  • ビルステージ:npm audit、Snyk依存関係スキャン、SonarQube SAST
  • テストステージ:OWASP ZAP DASTスキャン、Trivyによるコンテナイメージスキャン
  • デプロイステージ:OPAポリシー検証、Kubernetesアドミッションコントロール
  • デプロイ後:Falcoランタイムセキュリティによる継続的監視

セキュリティ監査

安全
v1 • 2/25/2026

This is a prompt-only skill containing security auditing guidance and knowledge. No executable code, network calls, filesystem access, or external commands detected. The skill provides expert security knowledge without any security risks.

0
スキャンされたファイル
0
解析された行数
0
検出結果
1
総監査数
セキュリティ問題は見つかりませんでした
監査者: claude

品質スコア

38
アーキテクチャ
100
保守性
87
コンテンツ
32
コミュニティ
100
セキュリティ
74
仕様準拠

作れるもの

マイクロサービス向けセキュリティ監査

APIセキュリティ、コンテナセキュリティ、DevSecOpsパイプライン統合を含むマイクロサービスアーキテクチャの包括的なセキュリティ評価の実施。

コンプライアンス準備評価

ギャップ分析、コントロール実装ガイダンス、監査準備ドキュメントにより、SOC 2、GDPR、またはHIPAAコンプライアンスへの準備。

脅威モデリングワークショップ

STRIDE手法を使用した構造化された脅威モデリングセッションのファシリテーションにより、新しいアプリケーション設計のセキュリティリスクの特定と優先順位付け。

これらのプロンプトを試す

基本的なセキュリティレビュー 
このコードスニペットをセキュリティ脆弱性についてレビューしてください。OWASP Top 10の問題を特定し、修正を提案し、各発見事項のセキュリティへの影響について説明してください。
DevSecOpsパイプラインセットアップ 
CI/CDワークフロー用のセキュリティスキャンパイプラインを設計してください。SAST、DAST、依存関係スキャン、コンテナイメージスキャンを含め、具体的なツールの推奨事項と統合ステップを記載してください。
脅威モデリングセッション 
STRIDE手法を使用してアプリケーションの脅威モデリングを実施してください。アプリケーションアーキテクチャは次の通りです:[アーキテクチャを記述]。脅威を特定し、リスクレベルを評価し、各脅威カテゴリに対する緩和策を推奨してください。
コンプライアンスギャップ分析 
[GDPR/HIPAA/SOC 2/ISO 27001]要件に対するギャップ分析を実施してください。現在のコントロールをレビュー:[コントロールを記述]。ギャップを特定し、修復作業の優先順位付けを行い、各要件の実装ガイダンスを提供してください。

ベストプラクティス

  • 開発ライフサイクル раннееにセキュリティスキャンを統合して、脆弱性が本番環境に到達する前に検出する
  • 単一のコントロールに頼むのではなく、複数のセキュリティ層を持つ防御、深層防御原則を適用する
  • デプロイ全体で一貫したセキュリティ施行を確保するために、CI/CDパイプラインでセキュリティ検証を自動化する

回避

  • 書面による承認と適切な保護策なしに本番環境で侵入的なセキュリティテストを実行する
  • 専用のシークレット管理ソリューションを使用する代わりに、環境変数や設定ファイルにシークレットを保存する
  • 手動レビューとコンテキスト分析なしに自動スキャン結果を完全なセキュリティ検証として扱う

よくある質問

このスキルは自動セキュリティスキャンを実行できますか?
このスキルはガイダンスと推奨事項を提供しますが、自动セキュリティスキャンツールを直接実行することはできません。スキャン戦略の設計、結果の解釈、修復の実装に使用してください。
このスキルは正式なコンプライアンス認定に適していますか?
このスキルはコンプライアンス実装のためのガイダンスを提供しますが、正式な認定プロセスを置き換えるものではありません。監査の準備、コントロールの実装、理解のために使用してください。正式な認定には資格のある監査人を起用してください。
このスキルはどのようなコンプライアンスフレームワークをサポートしていますか?
このスキルはGDPR、HIPAA、PCI-DSS、SOC 2、ISO 27001、NIST Cybersecurity Frameworkを含む主要なフレームワークをカバーしています。これらの標準のためのコントロール実装とドキュメント作成の準備を支援できます。
このスキルをペネトレーションテストに使用できますか?
このスキルはペネトレーションテスト方法論のガイダンス、発見事項の解釈、修復の推奨を行うことができます。ただし、実際のペネトレーションテストは適切な承認を持つ資格を持つ専門家が実施する必要があります。
このスキルはすべてのプログラミング言語で動作しますか?
はい、セキュリティ原則と方法論は言語に関係なく適用できます。このスキルは、JavaScript、Python、Java、Goなどの一般的な言語でのセキュアコーディングの言語固有のガイダンスを提供できます。
このスキルでどのくらいの頻度でセキュリティ監査を実行する必要がありますか?
セキュリティ監査は開発に継続的に統合する必要があります。 각 주요 기능에 대해セキュリティレビューを実行し、四半期ごとに包括的な監査を実施し、アーキテクチャ設計フェーズ中に脅威モデリングを実施してください。

開発者の詳細

作成者

sickn33

ライセンス

MIT

リポジトリ

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/security-auditor

参照

main

ファイル構成

📄 SKILL.md