[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"project-81587":3},{"id":4,"name":5,"fullName":6,"owner":7,"repo":5,"description":8,"homepage":9,"htmlUrl":9,"language":10,"languages":9,"totalLinesOfCode":9,"stars":11,"forks":12,"watchers":11,"openIssues":13,"contributorsCount":13,"subscribersCount":13,"size":13,"stars1d":13,"stars7d":13,"stars30d":13,"stars90d":13,"forks30d":13,"starsTrendScore":13,"compositeScore":14,"rankGlobal":9,"rankLanguage":9,"license":9,"archived":15,"fork":15,"defaultBranch":16,"hasWiki":17,"hasPages":15,"topics":18,"createdAt":9,"pushedAt":9,"updatedAt":19,"readmeContent":20,"aiSummary":21,"trendingCount":13,"starSnapshotCount":13,"syncStatus":22,"lastSyncTime":23,"discoverSource":24},81587,"claude-security-skills","sabakan0123\u002Fclaude-security-skills","sabakan0123","Claude Code security skills: \u002Fsecurity-review, \u002Ffull-scan, \u002Fsecurity-scan — with test harness and fixtures",null,"TypeScript",23,1,0,0.9,false,"master",true,[],"2026-06-12 02:04:17","# claude-security-skills\n\nClaude Code 用セキュリティスキル3種と、それを評価するテストハーネスのセットです。\n\n## スキルの住み分け\n\n| タイミング | スキル | 対象 |\n|-----------|--------|------|\n| PR 作成時 | `\u002Fsecurity-review` | git diff のみ・静的解析 |\n| リリース前 | `\u002Ffull-scan` | 全ソースファイル + 依存関係 CVE |\n| デプロイ後 | `\u002Fsecurity-scan` | ランタイム挙動・HTTP 動的テスト |\n\n3スキルを組み合わせることで、開発サイクル全体をカバーします。\n\n## インストール（`gh skill` で1コマンド）\n\nGitHub 公式の `gh skill` コマンドに対応しているので、1行で導入できます。\n\n```bash\ngh skill install sabakan0123\u002Fclaude-security-skills\n```\n\n実行すると、対話プロンプトでインストール先のエージェント（Claude Code \u002F Cursor \u002F Codex 等）とスコープ（ユーザー全体 \u002F プロジェクト単位）を聞かれます。Claude Code の場合は `~\u002F.claude\u002Fskills\u002F` 配下に3つのスキルが配置されます。\n\n> [!NOTE]\n> `gh skill` は GitHub CLI **v2.90.0 以上** が必要です。\n> アップグレード: `brew upgrade gh`（macOS）または [GitHub CLI releases](https:\u002F\u002Fgithub.com\u002Fcli\u002Fcli\u002Freleases) から手動インストール。\n\n### 中身を確認してから入れたい人へ\n\nセキュリティ系のスキルを「中身も見ずに」入れるのは正直オススメできないので、`preview` で先に確認するのを推奨します。\n\n```bash\n# SKILL.md の中身を表示するだけ（インストールはされない）\ngh skill preview sabakan0123\u002Fclaude-security-skills\n```\n\n### バージョンを固定したい場合\n\nCI\u002FCD に組み込む場合は `--pin` でタグを固定してください。\n\n```bash\ngh skill install sabakan0123\u002Fclaude-security-skills --pin v0.2.0\n```\n\n`gh skill update` でも勝手に更新されなくなります。\n\n### アップデート\n\n```bash\ngh skill update --dry-run  # 何が更新されるか先に確認\ngh skill update            # 実行\n```\n\n### 手動インストール（`gh skill` が使えない環境）\n\n```bash\ncp commands\u002F*.md ~\u002F.claude\u002Fcommands\u002F\n```\n\n詳細な設定手順は [templates\u002Fsecurity-skills-setup.md](templates\u002Fsecurity-skills-setup.md) を参照してください。\n\n## スキル概要\n\n### `\u002Fsecurity-review` — 差分ベース静的解析\n\nPR・ブランチの `git diff` を対象に、変更されたコードのみをセキュリティ解析します。\n\n**検出対象:**\n- インジェクション（SQL \u002F NoSQL \u002F コマンド \u002F テンプレート）\n- 認証・認可の欠陥（JWT 誤実装・認可バイパス）\n- ハードコードされた認証情報・API キー\n- 危険なメソッドによる XSS（`dangerouslySetInnerHTML` 等）\n- PII・トークンのログ出力\n\n**特徴:** 偽陽性フィルタリング（信頼度 0.8 以上のみ報告）、既存のセキュリティパターンとの比較分析\n\n---\n\n### `\u002Ffull-scan` — 全ファイル静的解析（言語・フレームワーク非依存）\n\nプロジェクト構造を自動検出し、全ソースファイルの静的解析と依存関係 CVE スキャンを並列実行します。\n\n**特徴:**\n- モノレポ対応（モジュールごとにサブエージェントを並列実行）\n- `npm audit` \u002F `pip-audit` \u002F `cargo audit` 等の依存関係スキャン\n- `gitleaks` によるシークレット漏洩チェック\n- コンテキスト上限到達時は PARTIAL SCAN として明示\n\n---\n\n### `\u002Fsecurity-scan` — ランタイム検証\n\nステージング環境にデプロイ済みのサーバーに対して HTTP 動的テストを実行します。\n\n**検証内容:**\n- HTTP セキュリティヘッダー（HSTS・CSP・X-Frame-Options 等）\n- OWASP Top 10（A01〜A10）\n- JWT アルゴリズム混乱攻撃・Cookie 属性\n- SQL \u002F NoSQL \u002F コマンドインジェクション\n- プロンプトインジェクション（AI 機能がある場合）\n\n**前提:** `security-agent.config.yml` と `STAGING_URL` 環境変数が必要\n\n---\n\n## カバレッジ\n\n### 3スキル合算\n\n| 領域 | カバレッジ |\n|------|----------|\n| OWASP Top 10 ベース | 約 65〜70% |\n| コードパターン系（injection, XSS, hardcoded key） | 約 90% |\n| 依存関係 CVE | 約 85% |\n| HTTP 設定ミス | 約 75% |\n| ビジネスロジック・インフラ設定 | ペネトレーションテスト（人手）が必要 |\n\n### 各スキルがカバーできない領域\n\n| 領域 | 推奨手段 |\n|------|---------|\n| 変更差分以外の既存コードの脆弱性 | `\u002Ffull-scan` |\n| 依存関係の既知 CVE | `\u002Ffull-scan` |\n| デプロイ後のランタイム挙動 | `\u002Fsecurity-scan` |\n| ビジネスロジックの欠陥 | ペネトレーションテスト |\n| インフラ・クラウド設定（IAM 等） | インフラ担当者レビュー |\n| ゼロデイ脆弱性 | CVE データベース外のため検出不可 |\n\n---\n\n## テストハーネス\n\n`tests\u002Fsecurity-skills\u002F` にフィクスチャと採点基準（`expected.json`）が含まれます。\n\n### フィクスチャの構成\n\n| ディレクトリ | 内容 |\n|------------|------|\n| `fixtures\u002Fvuln\u002F` | Easy: 基本的な脆弱性パターン |\n| `fixtures\u002Fsafe\u002F` | Easy: 安全なパターン（偽陽性テスト） |\n| `fixtures\u002Fhard-vuln\u002F` | Hard: 一見安全に見える脆弱性 |\n| `fixtures\u002Fhard-safe\u002F` | Hard: 一見危険に見える安全なパターン |\n| `fixtures\u002Fattacker\u002F` | Attacker: 実攻撃者レベルのパターン |\n| `fixtures\u002Fattacker-safe\u002F` | Attacker: 難しい安全パターン |\n| `fixtures\u002Fno-comment-vuln\u002F` | No-Comment: コメントなし脆弱コード |\n| `fixtures\u002Fno-comment-safe\u002F` | No-Comment: コメントなし安全コード |\n| `fixtures\u002Fdeep-chain\u002F` | 6ファイル深連鎖（JWT 署名検証なし） |\n| `fixtures\u002Fframework-bypass\u002F` | Next.js middleware + rewrite バイパス |\n| `fixtures\u002Finfra-combo\u002F` | CSP 設定 + XSS 組み合わせ |\n\n### 実測スコア（`\u002Ffull-scan` による評価）\n\n| 難易度 | Recall | FP Rate |\n|--------|--------|---------|\n| Easy | 100% | 0% |\n| Hard | 100% | 0% |\n| Attacker-level | 100% | 0% |\n| No-Comment | 100% | 0% |\n| 深連鎖（6ファイル） | 100% | 0% |\n| フレームワーク挙動依存 | 100% | 0% |\n| インフラ設定組み合わせ | 100% | 0% |\n\n### テストの実行方法\n\nClaude Code で以下を実行します：\n\n```\n\u002Ffull-scan tests\u002Fsecurity-skills\u002Ffixtures\n```\n\n`expected.json` の採点基準と照合して、検出漏れ・偽陽性を確認してください。\n\n---\n\n## ファイル構成\n\n```\nclaude-security-skills\u002F\n├── skills\u002F                        # gh skill install で使用（推奨）\n│   ├── security-review\u002F\n│   │   └── SKILL.md              # \u002Fsecurity-review スキル本体\n│   ├── full-scan\u002F\n│   │   └── SKILL.md              # \u002Ffull-scan スキル本体\n│   └── security-scan\u002F\n│       └── SKILL.md              # \u002Fsecurity-scan スキル本体\n├── commands\u002F                      # 手動インストール用（legacy）\n│   ├── security-review.md\n│   ├── full-scan.md\n│   └── security-scan.md\n├── templates\u002F\n│   ├── security-agent.config.template.yml  # \u002Fsecurity-scan 設定テンプレート\n│   └── security-skills-setup.md           # 新プロジェクト導入手順\n└── tests\u002F\n    └── security-skills\u002F\n        ├── expected.json          # 採点基準（模範解答）\n        └── fixtures\u002F              # テスト用コードフィクスチャ\n```\n\n## ライセンス\n\nMIT\n","claude-security-skills 是一个用于代码安全审查的工具集，包含三个核心功能：\u002Fsecurity-review、\u002Ffull-scan 和 \u002Fsecurity-scan。该项目使用 TypeScript 编写，通过静态和动态分析来检测潜在的安全问题。\u002Fsecurity-review 专注于 PR 时的代码差异分析；\u002Ffull-scan 在项目发布前对所有源文件及依赖进行扫描；而 \u002Fsecurity-scan 则针对部署后的运行时环境执行 HTTP 动态测试。此工具适合于希望在软件开发生命周期的不同阶段增强安全性的团队，特别是那些采用持续集成与持续交付实践的开发环境。",2,"2026-06-11 04:05:37","CREATED_QUERY"]