スキル vulnerability-scanner
📦

vulnerability-scanner

安全

脆弱性スキャン

このスキルは、OWASP 2025 ガイドラインと自動スキャンツールを使用して、開発者がコードベース内のセキュリティ脆弱性を特定し、優先順位付けするのを支援します。

対応: Claude Codex Code(CC)
🥉 73 ブロンズ
1

スキルZIPをダウンロード

2

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロードへ移動

3

オンにして利用開始

テストする

「vulnerability-scanner」を使用しています。 プロジェクトでセキュリティスキャンを実行

期待される結果:

セキュリティスキャン結果:

全体ステータス:3 件の問題が見つかりました
- 重大:0
- 高:2
- 中:1

スキャン概要:
1. コードパターン:2 件の高リスクパターンを検出
- utils.js:42 で eval() の使用を検出
- database.js:15 で SQL 文字列連結を検出

2. 設定:1 件の中程度の問題
- config/development.json でデバッグモードが有効

推奨事項:
- eval() をより安全な代替手段に置き換えてください
- 文字列連結の代わりにパラメータ化クエリを使用してください
- 本番設定でデバッグモードを無効にしてください

「vulnerability-scanner」を使用しています。 ハードコードされたシークレットを確認

期待される結果:

シークレットスキャン結果:

スキャン対象:156 ファイル
検出されたシークレット:1

- src/config.js:12 で API キーを検出
タイプ:汎用 API キー
重大度:高

推奨事項:シークレットを環境変数またはシークレットマネージャーに移動してください。API キーをソース管理にコミットしないでください。

セキュリティ監査

安全
v1 • 2/25/2026

This is a defensive security skill that teaches vulnerability scanning principles. All static findings are false positives - the flagged patterns (eval, exec, pickle, secrets, API keys) are documented as patterns to DETECT or are in teaching examples, not actual vulnerabilities. The included security_scan.py script is a defensive scanner that identifies dangerous code patterns in user projects.

3
スキャンされたファイル
863
解析された行数
0
検出結果
1
総監査数
セキュリティ問題は見つかりませんでした
監査者: claude

品質スコア

45
アーキテクチャ
100
保守性
87
コンテンツ
31
コミュニティ
100
セキュリティ
91
仕様準拠

作れるもの

デプロイ前セキュリティチェック

本番デプロイ前にコードベースで自動セキュリティスキャンを実行し、一般的な脆弱性を早期に検出します。

セキュリティ監査ワークフロー

OWASP チェックリストと優先順位付けフレームワークを使用して、体系的なセキュリティ監査を実施します。

セキュアコーディング教育

一般的な脆弱性パターンと、異なるプログラミング言語でそれらを回避する方法について学びます。

これらのプロンプトを試す

基本的な脆弱性スキャン 
vulnerability-scanner スキルを使用して、[PROJECT_PATH] のプロジェクトをセキュリティの問題についてスキャンしてください。フルスキャンを実行して結果を報告してください。
シークレット検出 
vulnerability-scanner スキルを使用して、コードベース内のハードコードされたシークレット、API キー、認証情報をスキャンしてください。AWS キー、トークン、パスワード、秘密鍵をチェックしてください。
依存関係監査 
vulnerability-scanner スキルを使用して、依存関係の既知の脆弱性を監査してください。古いパッケージとサプライチェーンリスクをチェックしてください。
包括的なセキュリティ評価 
vulnerability-scanner スキルを使用して、包括的なセキュリティ評価を実施してください。内容包括:依存関係監査、シークレットスキャン危険なコードパターン検出、設定レビュー。重大度別に発見事項の優先順位を付けて、修復手順を提供してください。

ベストプラクティス

  • 開発ライフサイクル早期かつ頻繁にセキュリティスキャンを実行し、デプロイ前に問題を検出してください
  • CVSS スコアとビジネスコンテキストと資産価値を組み合わせて、発見事項の優先順位を付けてください
  • アクションを起こす前にすべての発見事項を手動で検証してください - 自動スキャナーは誤検出を生成します
  • 繰り返しスキャンでのノイズを減らすために既知の安全パターンのベースラインを維持してください

回避

  • 調査なしにスキャナーの警告を無視する - 低重大度の問題でも組み合わせれば悪用される可能性があります
  • 手動セキュリティレビューと脅威モデリングなしで自動ツールのみに依存する
  • デプロイ前に一度だけスキャンして以降は行わない - 新しい脆弱性が常に発生しています
  • 優先順位付けなしにすべてのスキャナー発見事項を同様に扱う

よくある質問

OWASP Top 10 2025 とは?
OWASP Top 10 2025 は、最も重要な Web アプリケーションセキュリティリスクをリストした標準ドキュメントです。アクセス制御の不備、Security Misconfiguration、新しいサプライチェーンセキュリティと例外的な条件のカテゴリが含まれています。
このスキルは実際のペネトレーションテストを実施しますか?
いいえ、このスキルは静的コード分析とパターン検出を行います。潜在的な脆弱性を特定しますが、积极的に悪用したりテストしたりしません。 包括的なセキュリティ評価には手動ペネトレーションテストが必要です。
CVSS スコアリングはどのように機能しますか?
CVSS(Common Vulnerability Scoring System)は、悪用可能性、影響、範囲などのメトリクスに基づいて重大度スコアを 0 から 10 まで割り当てます。9.0-10.0 は重大、7.0-8.9 は高、4.0-6.9 は中、4.0 未満は低です。
サプライチェーンセキュリティとは?
サプライチェーンセキュリティ(OWASP A03)は、依存関係、ビルドパイプライン、サードパーティコンポーネントからのリスクに焦点を当てています。悪意のあるパッケージのチェック、ロックファイルの整合性検証、CI/CD 構成の監査が含まれます。
このスキャナーはすべてのセキュリティ問題を検出できますか?
自動スキャナーはすべての脆弱性を検出できません。このスキルは一般的なパターンを識別しますが、ビジネスロジックの欠陥、アーキテクチャ上の脆弱性、またはランタイム分析が必要な問題を検出できません。定期的な手動セキュリティレビューが必要です。
脆弱性の優先順位をどのように付けますか?
CVSS ベーススコア、EPSS 悪用可能性確率、資産のビジネス価値、露出レベルの組み合わせを使用してください。積極的に悪用され、影響が大きく重要な資産に影響を与える問題を優先してください。

開発者の詳細

作成者

sickn33

ライセンス

MIT

リポジトリ

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/vulnerability-scanner

参照

main

ファイル構成

📁 scripts/

📄 security_scan.py

📄 checklists.md

📄 SKILL.md