Skill.md検索

複数言語の脆弱性を自動スキャン: Python・JavaScript・Go・Java・C++・C#・Ruby・Swiftのコードから、OWASP Top 10やCWE Top 25に該当するセキュリティリスクを検出 高確度と詳細なルールセットを使い分け: クイックスキャン（重要リスクのみ）またはフルスキャン（全ルール）を選択でき、CI/CDパイプラインの速度と精度のバランスを調整 偽陽性をフィルタリング: 検出結果をトリアージ（Critical/Medium判定）し、実際の脆弱性か誤検知かを区別。理由付きで安全なコードは除外 プロジェクト固有のセキュリティルールを作成: カスタムYAMLルールで、組織やプロジェクト特有の脆弱性パターンを定義・自動検出 SARIF形式で結果を統一: 複数ツール（Semgrep・CodeQL）の結果を共通フォーマットで集約し、ダッシュボード連携が容易に セキュリティエンジニア: コード監査やセキュリティ監査を効率的に実施し、脆弱性を優先度付けで報告したい DevOpsエンジニア: CI/CDパイプラインに脆弱性スキャンを組み込み、デプロイ前に検出したい 開発チーム: 新しい外部ライブラリ導入時やセキュリティ境界変更後に、自動で脅威検査を実行したい プロダクトセキュリティ責任者: 複数プロジェクト・複数言語の脆弱性を一元管理・可視化したい Trail of Bits Testing Handbook（https://appsec.guide/docs/static-analysis/）に基づく静的解析ツール。Semgrep CLIでセキュリティ監査ルール・OWASP Top 10・CWE Top 25を実行。CodeQL（オプション）で言語別セキュリティクエリを実行。両方の結果をSARIF形式で出力。jqでパースし、rule-id・level・メッセージ・ファイル位置を抽出。トリアージで真陽性（Critical/Medium）と偽陽性を分類し、偽陽性は# nosemgrep: {rule-id}で理由コメント付きで抑制。カスタムルールは.semgrep/custom-rules.ymlでYAML定義し、プロジェクト固有パターンに対応。differential-reviewスキルとの連携で詳細分析が可能。前提条件としてSemgrep CLIと必要に応じてCodeQL CLIをインストール、テレメトリを無効化。

セキュリティ脅威を優先的に検出: 認証・暗号・APIキー・入力バリデーション（ユーザー入力の安全性確認）など、セキュリティに関わるコード変更を重点的に分析します。 攻撃者視点での脆弱性分析: 「このコード変更を悪用したら何ができるか」という攻撃パターンまで検討し、現実的なセキュリティリスクを評価します。 暗号化やAPI連携の安全性を検証: シークレット露出（APIキーなどの機密情報が見える状態）やSSRF（サーバー側リクエスト偽造）などの外部連携リスクを自動検出します。 3段階の詳細レポート出力: Critical（即修正必須）・Important・Informational の優先度別で、修正方法まで具体的に提示します。 認証やデータ保護に関わるコード変更をレビューするセキュリティ担当者 PR承認前にセキュリティ問題を見落とさないようにしたい開発チーム 金融・医療など高セキュリティ要件のプロジェクトに携わるエンジニア

AIサブエージェントが独立した視点でレビュー: 別のAIが自分とは異なる視点でコードをチェックするため、自分では気付きにくい問題を発見できます。 セキュリティ・ロジック・設計を多角的に検証: 脆弱性だけでなく、エッジケース（想定外の入力）未処理、エラーハンドリング不足、責務分離（関数や クラスの役割分担）などを総合的に評価します。 Critical指摘は即座に修正: 重大度「Critical（即修正が必要）」と判定された問題は、その場で修正→再レビューまでサイクルを回します。 PR作成前の最終チェック: 本レビューを経てからPRを出すため、Copilot（GitHub Copilot等のツール）からの修正指示を最小化できます。 主要機能の実装完了後、品質が不安なエンジニア セルフレビューだけでは見落としがないか確認したい開発者 チーム全体のコード品質基準を上げたいテックリード

Claude以外のAI（OpenAI・Google Gemini）の視点を活用: 異なるAIモデルが同じコードをレビューすることで、特定のAIが見落としやすい問題を補完できます。 複数LLMの指摘を自動統合: 複数のAIが同じ問題を指摘した場合は信頼度が高く、個別の指摘は追加検証対象として整理されます。 セキュリティクリティカルな変更を多角検証: 認証・暗号など重要度の高い変更に対して、複数のAIの意見を比較し、見落としのリスクを大幅に低減します。 矛盾する指摘の明確化: AIツール間で異なる判定が出た場合、その根拠を明確にして最終判断の精度を高めます。 セキュリティクリティカルなコード変更を厳密にレビューしたい企業 AI単一の判定に頼らず、複数ツールを活用したい開発チーム OpenAI・Google Gemini等の複数のAIサービスを契約している組織

RED-GREEN-REFACTORサイクルで確実な実装: テスト失敗→最小コード実装→整理という3ステップで、要件を満たすコードを効率的に完成させます。 テスト失敗を確認してから実装に進む: 「テストが失敗した」状態を確認してからコード実装を始めるため、テストが実際に機能していることが保証されます。 正常系・異常系・境界値（空配列、null等）を網羅: テストで想定外の入力（異常系）や極端な値（境界値）も事前に対策するため、本番でのバグを大幅削減できます。 リファクタリング（コードの整理・改善）を安全に実行: テストがある状態でコード整理を行うため、うっかり動作を変えてしまうリスクを防げます。 バグの少ないコードを書きたい開発者 テスト駆動開発（TDD）のワークフローを導入したいチーム リファクタリング時の動作検証を確実にしたいエンジニア

テスト実行結果を確認してから完了宣言 - 「テストがパスするはず」という推測ではなく、実際にテストを実行してその結果を見てから完了を報告できます 型エラーやビルドエラーを検出 - TypeScriptやその他言語のコンパイル・型チェックを実行し、エラーがないことを確認してから作業完了とします コードの差分を目視確認 - git diffで変更内容を確認し、意図しない変更やデバッグ用コード（console.logなど）が残っていないかチェックできます lintエラーを事前に修正 - コード品質チェックを実行して、スタイルエラーや問題を修正してから提出できます 作業完了後のレビューで「実は動いていなかった」という指摘を受けたくない開発者 テスト環境とローカル環境で動作が異なるトラブルを減らしたい人 推測や希望的観測で仕事を進めるのではなく、確実な証拠に基づいて報告したい人 マージ前のセルフチェックを徹底したいプロジェクトマネージャーやリードエンジニア