スキル security-best-practices
🔒

security-best-practices

安全

セキュリティベストプラクティスの実装

実証済みのセキュリティパターンとOWASP Top 10コンプライアンスにより、SQLインジェクション、XSS、CSRF攻撃などの一般的な脆弱性からWebアプリケーションを保護します。

対応: Claude Codex Code(CC)
📊 70 十分
1

スキルZIPをダウンロード

2

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロードへ移動

3

オンにして利用開始

テストする

「security-best-practices」を使用しています。 Expressアプリにセキュリティミドルウェアを追加

期待される結果:

CSP、HSTS、X-Frame-OptionsヘッダーのHelmet設定;15分あたり100リクエストのレート制限ミドルウェア;本番環境用のHTTPSリダイレクト

「security-best-practices」を使用しています。 登録フォームのユーザー入力を検証

期待される結果:

Joiスキーマ(有効なメール形式必須、パスワード最低8文字大小文字数字特殊文字、名前2-50文字)

セキュリティ監査

安全
v1 • 3/7/2026

This skill teaches security best practices for web applications. All static analyzer findings are FALSE POSITIVES - the skill demonstrates both vulnerable patterns (to teach what to avoid) and secure patterns (as examples). The eval() reference at line 237 is in the prohibited items section teaching users not to use it. Environment variable access demonstrates proper secret management. No actual security risks present.

2
スキャンされたファイル
304
解析された行数
0
検出結果
1
総監査数
セキュリティ問題は見つかりませんでした

検出されたパターン

Static Finding: eval() UsageStatic Finding: Shell Command DetectionStatic Finding: Environment Variable AccessStatic Finding: Hardcoded URLs
監査者: claude

品質スコア

38
アーキテクチャ
100
保守性
87
コンテンツ
24
コミュニティ
100
セキュリティ
91
仕様準拠

作れるもの

新しいWebアプリケーションのセキュリティ保護

Express.js APIをゼロから構築する際に、セキュリティミドルウェアとヘッダーをセットアップします。

セキュリティ監査と修正

既存のコードを脆弱性についてレビューし、OWASPガイドラインに従って修正を適用します。

コンプライアンス準備

GDPR、PCI-DSS、またはその他のコンプライアンスフレームワークに必要なセキュリティコントロールを実装します。

これらのプロンプトを試す

基本的なセキュリティセットアップ 
Express.jsアプリケーションにセキュリティベストプラクティスを追加してください。セキュリティヘッダー用にHelmet.js、APIエンドポイント用のHTTPS適用、レート制限を含めます。
入力検証 
ユーザー登録APIエンドポイントに入力検証を実装してください。Joiを使用してメール形式、パスワード強度(大小文字、数字、特殊文字を含む最低8文字)、名前の長さを検証してください。
CSRF保護 
Express APIのすべてのPOST、PUT、DELETEエンドポイントにCSRF保護を追加してください。クライアントリクエストからCSRFトークンを検証するミドルウェアを含めます。
セキュアな認証 
アクセストークン(15分の有効期限)とリフレッシュトークンローテーションを備えたJWT認証を実装してください。データベースにリフレッシュトークンを保存し、使用ごとにローテーションしてください。

ベストプラクティス

  • SQLインジェクション防止のため、文字列連結の代わりに常にパラメータ化クエリを使用してください
  • シークレットは環境変数に保管し、ソースコードに認証情報をハードコードしないでください
  • 複数のセキュリティコントロール層で防御 profundidade(多層防御)を実装してください

回避

  • ユーザー入力でeval()や類似の動的コード実行を使用する
  • サニタイズなしでユーザー入力をHTMLに直接挿入する(innerHTML)
  • .envファイルやその他のシークレットファイルをバージョン管理にコミットする

よくある質問

OWASP Top 10とは何ですか?
OWASP Top 10は、最も重要なWebアプリケーションセキュリティリスクのリストで、定期的に更新されています。インジェクション、認証の不備機密データの露出などの脆弱性が含まれます。
Helmet.jsはどのようにセキュリティを向上させますか?
Helmet.jsは、XSS、クリックジャッキング、MIMEタイプスニッフィングなどの一般的な攻撃から保護する各種HTTPヘッダーを設定します。CSP、HSTS、X-Frame-Optionsなどのセキュリティヘッダーが含まれます。
認証と認可の違いは何ですか?
認証はユーザーが誰であるかを確認します(ログイン)。認可はユーザーが何をできるか決定します(権限)。両方ともセキュリティに不可欠ですが、異なる目的を果たします。
SQLインジェクションを防ぐにはどうすればいいですか?
ユーザー入力をSQL文字列に連結する代わりに、パラメータ化クエリまたはプリペアードステートメントを使用してください。ユーザー入力をデータベースクエリに直接挿入しないでください。
CSRF保護とは何ですか?为什么が必要です呢?
CSRF(クロスサイトリクエストフォージェリ)攻撃は、ユーザーに悪意のあるリクエストを Submit させるためにユーザーを騙します。CSRFトークンはリクエストが正当なアプリケーションから発信されたことを検証します。
本番環境でシークレットをどのように管理すべきですか?
AWS Secrets Manager、HashiCorp Vault、Kubernetes Secretsなどの環境変数またはシークレット管理サービスを使用してください。シークレットをバージョン管理にコミットしないでください。

開発者の詳細

作成者

supercent-io

ライセンス

MIT

リポジトリ

https://github.com/supercent-io/skills-template/tree/main/.agent-skills/security-best-practices/

参照

main

ファイル構成

📄 SKILL.md

📄 SKILL.toon