SAST Security Plugin
コードをスキャンしてセキュリティ脆弱性を検出
このスキルは、デプロイ前にコード内の脆弱性を特定するための包括的な静的アプリケーションセキュリティテスト(SAST)ガイダンスを提供します。様々な言語やフレームワークに対応した複数の SAST ツールの設定と実行方法を案内します。
スキルZIPをダウンロード
Claudeでアップロード
設定 → 機能 → スキル → スキルをアップロードへ移動
オンにして利用開始
テストする
「SAST Security Plugin」を使用しています。 Python Flask アプリの SQL インジェクション脆弱性をスキャンする方法を教えてください
期待される結果:
Bandit と Semgrep を使用して Flask アプリの SQL インジェクション脆弱性をスキャンするには:
1. ツールをインストール: `pip install bandit semgrep`
2. Bandit を実行: `bandit -r . -f json -o bandit-report.json`
3. SQL インジェクションルールで Semgrep を実行:
```bash
semgrep --config=p/security-audit --json --output=semgrep-sqli.json
```
4. SQL インジェクションの検出結果について JSON レポートを確認する。以下の項目を探す:
- SQL クエリでの文字列フォーマット(B608、B611)
- クエリ内のサニタイズされていないユーザー入力
- パラメータ化クエリの欠如
5. パラメータ化クエリを使用して特定された問題を修正:
```python
# 脆弱
cursor.execute("SELECT * FROM users WHERE id = " + user_id)
# 安全
cursor.execute("SELECT * FROM users WHERE id = %s", (user_id,))
```
「SAST Security Plugin」を使用しています。 TypeScript React アプリケーションのために ESLint セキュリティを設定してください
期待される結果:
TypeScript React 向けに ESLint セキュリティを設定するには:
1. 依存関係をインストール:
```bash
npm install --save-dev eslint @typescript-eslint/parser @eslint/plugin-security eslint-plugin-react
```
2. .eslintrc-security.json を作成:
```json
{
"parser": "@typescript-eslint/parser",
"plugins": ["@eslint/plugin-security", "react"],
"extends": ["plugin:security/recommended"],
"rules": {
"security/detect-object-injection": "error",
"security/detect-non-literal-fs-filename": "error",
"security/detect-eval-with-expression": "error",
"no-danger": "error"
}
}
```
3. スキャンを実行:
```bash
eslint --ext .ts,.tsx --format json > eslint-security-report.json
```
セキュリティ監査
安全This is a prompt-only documentation skill providing SAST (Static Application Security Testing) guidance. The static analyzer scanned 0 executable files (0 lines of code) because the skill consists entirely of markdown documentation (SKILL.md). No suspicious patterns or risk factors were detected. The skill provides legitimate security guidance for configuring and running established SAST tools like Bandit, Semgrep, and ESLint Security.
品質スコア
作れるもの
デプロイ前セキュリティレビュー
本番環境にデプロイする前に包括的な SAST スキャンを実行し、早期に脆弱性を発見する。
レガシーコードセキュリティ評価
継承したコードベースや古いコードベースのセキュリティ問題と技術的負債を監査する。
CI/CD セキュリティゲート
脆弱なコードをブロックするために、プルリクエストワークフローに自動セキュリティスキャンを統合する。
これらのプロンプトを試す
Python プロジェクトのセキュリティ脆弱性をスキャンするために Bandit を設定して実行する方法を教えてください。現在のディレクトリに Django アプリケーションがあります。
Python、JavaScript、Go のコードを含むプロジェクトで包括的なセキュリティスキャンを実行する必要があります。これらすべての言語をスキャンし、結果を集約するために Semgrep を設定する方法を示してください。
当社固有のセキュリティポリシーがあります。内部 API キーがソースファイルにハードコーディングされているのを検出するための Semgrep カスタムルールを作成してください。
すべてのプルリクエストで SAST スキャンを実行する GitHub Actions ワークフローを設定してください。Python には Bandit、JavaScript には ESLint Security を含め、HIGH または CRITICAL の脆弱性が見つかった場合はビルドを失敗させてください。
ベストプラクティス
- pre-commit フックを使用して開発の早い段階で SAST スキャンを実行し、コードレビューに到達する前に問題を発見する
- 複数の SAST ツールを組み合わせる。それぞれが異なる種類の脆弱性を検出するため - Python には Bandit、多言語には Semgrep、JS/TS には ESLint
- テストファイル、生成されたコード、既知の安全なパターンに対する除外設定をして、誤検知を調整する
回避
- 結果のレビューやトリアージなしにスキャンを実行する - 誤検知率が高いためアラート疲労を引き起こす可能性がある
- 深刻度で優先順位付けする(CRITICAL/HIGH のみ)代わりに、あらゆる検出でデプロイをブロックする
- データ処理ポリシーを確認せずに、機密コードを外部スキャンサービスにアップロードする