スキル sharp-edges

📦

sharp-edges

Name: sharp-edges
Author: sickn33

安全

危険なAPIとリスクのある設定の特定

コードレビューでは、バグやセキュリティ脆弱性につながるエラーを起こしやすいAPIや危険な設定を見落としがちです。このスキルは、それらが本番環境で問題を引き起こす前に特定するのに役立ちます。

対応: Claude Codex Code(CC)

⚠️ 67 貧弱

スキルZIPをダウンロード

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロードへ移動

オンにして利用開始

テストする

「sharp-edges」を使用しています。このコードをシャープエッジについてレビューしてください：タイムゾーンを指定せずにタイムゾーン関数を使用すると、正しくない時間計算につながる可能性があります。

期待される結果:

検出されたシャープエッジ：

1. **タイムゾーンAPIのリスク**（中）
- 問題：明示的なタイムゾーン処理なしで日時関数を使用している
- 影響：正しくない時間計算、スケジュールされたタスクでのデータ破損
- 推奨：IANAタイムゾーン識別子（例��'America/New_York'）を使用して常に明示的なタイムゾーンを指定する
- より安全な代替案：moment-timezoneやdate-fns-tzなどのライブラリを使用する

「sharp-edges」を使用しています。危険な設定についてこの設定を分析してください

期待される結果:

検出された設定のシャープエッジ：

1. **デバッグモードが有効**（高）
- 設定：本番構成でDEBUG=true
- リスク：機密性の高いエラー詳細と内部システム情報が公開される
- 推奨：本番環境でデバッグモードを無効にする

2. **デフォルト認証情報**（重要）
- 設定：デフォルトのadmin/password認証情報が有効
- リスク：��当たり攻撃による不正アクセス
- 推奨：初回ログイン時にパスワード変更を強制し、強力な認証情報要件を使用する

セキュリティ監査

安全

v1 • 2/25/2026

This skill is a documentation/guide for identifying error-prone APIs and dangerous configurations. The static analyzer detected hardcoded URLs (lines 4, 70) which are legitimate source references to the original GitHub repository - not data exfiltration. The 'weak cryptographic algorithm' detections at lines 3, 22, and 39 are false positives - the scanner misidentified text patterns as cryptographic issues when there are no cryptographic algorithms present. No actual security risks identified.

スキャンされたファイル

解析された行数

検出結果

総監査数

高リスクの問題 (2)

SKILL.md:3 SKILL.md:22 SKILL.md:39

False Positive: Weak Cryptographic Algorithm Detection

Static analyzer flagged 'weak cryptographic algorithm' at lines 3, 22, and 39. This is a false positive - the skill contains no cryptographic code or algorithms. The scanner misidentified benign text patterns as cryptographic issues.

SKILL.md:4 SKILL.md:70

Hardcoded URLs in Documentation

URLs to the original source repository are hardcoded in the skill documentation. These are legitimate source references, not security concerns.

監査者: claude

品質スコア

アーキテクチャ

100

保守性

コンテンツ

コミュニティ

セキュリティ

仕様準拠

作れるもの

セキュリティ監査支援

コードレビュー時に使用して、セキュリティ脆弱性につながる可能性のある危険なAPI使用やリスクのある設定を特定します。

API設計��ビュー

実装前に、既知の落とし穴やエラーを起こしやすいパターンについて提案されたAPI設計を評価します。

設定安全性チェック

システムをリスクにさらす可能性のある危険なデフォルト設定について、設定ファイルと設定をレビューします。

これらのプロンプトを試す

基本的なAPIレビュー

sharp-edgesスキルを使用して、このコードスニペット内のエラーを起こしやすいAPIや危険な設定を特定してください。明確ではない失敗モードや複雑なパラメータ要件を持つAPIに焦点を当ててください。

セキュリティ設定監査

sharp-edgesスキルを適用して、これらの設定を分析してください。安全ではないデフォルト値やセキュリティ制御をバイパスする可能性のある設定を特定してください。

API設計��価

sharp-edgesの手法論を使用して、この提案されたAPI設計を評価してください。開発者が注意すべき「危険な箇所（sharp edges）」は何ですか？どのようなより安全な代替案がありますか？

包括的なリスク分析

このコードベースに対して徹底的なsharp-edges分析を実行してください。エラーを起こしやすいパターンと危険な設定を特定し、各発見事項に対して推奨事項を含むリスク評価を提供してください。

ベストプラクティス

特定されたシャープエッジには常にリスクの明確な説明を記載する
不正な使用パターンと正しい使用パターンの両方の具体的な例を提供する
利用可能な場合はコード例を含めて具体的なより安全な代替案を推奨する
新しい脆弱性が発見されたら、シャープエッジのドキュメントを最新の状態に保つ

回避

既知の失敗モードに関するAPIドキュメントの警告を無視する
セキュリティへの影響をレビューせずにデフォルト設定を使用する
すべてのAPIが異なるコンテキストで一貫して動作すると想定する
クリーンアップが必要なAPIのリソース管理チェックをスキップする

よくある質問

コードにおけるシャープエッジとは何ですか？

シャープエッジとは、明確ではない失敗モード、複雑な要件、または注意深く使用しないとバグやセキュリティ問題につながる可能性のあるAPIまたは設定のことです。例には、タイミングの感応性、不明確なエラー処理、または危険なデフォルト設定を持つAPIなどがあります。

このスキルはコードを自動的にスキャンしますか？

いいえ。このスキルはシャープエッジを特定するための手法論と知識を提供します。レビュープロセスをガイドしますが、コードの自動静的または動的分析を実行しません。

このスキルはすべてのセキュリティ脆弱性を検出できますか？

いいえ。このスキルは一般的なエラーを起こしやすいAPIと危険な設定を特定するのに役立ちますが、すべての可能な脆弱性を検出することはできません。包括的なセキュリティレビュープロセスの一部として使用する必要があります。

このスキルはどのようなタイプのAPIの特定に役立ちますか？

このスキルは、複雑なパラメータ要件、明確ではない失敗モード、タイミングまたは並行性の問題、不明確なエラー処理、慎重なリソース管理を必要とするAPIを特定するのに役立ちます。

このスキルは静的解析ツールとどのように違いますか？

静的解析ツールはパターンについてコードを自動的にスキャンします。このスキルは手動レビューのためのガイダンスと手法論を提供し、特定のパターンが問題である理由とそれらに対処する方法を理解するのに役立ちます。

このスキルは任意のプログラミング言語で使用できますか？

はい。sharp-edgesの手法論は言語��依存しません。このスキルは、異なるプログラミング言語やフレームワーク間で問題のあるAPIと設定を特定するための一般的な原則を提供します。

開発者の詳細

作成者

sickn33

ライセンス

MIT

リポジトリ

https://github.com/sickn33/antigravity-awesome-skills/tree/main/web-app/public/skills/sharp-edges

参照

main

ファイル構成

📄 SKILL.md