classmethod/ipa-security-guide
skills/ipa-security-guide/SKILL.md
ipa-security-check をはじめとするセキュリティ診断ツールが出力したレポートを読み込み、各検出項目を優先順位付きの dev-debug 依頼リストに変換する。対象プロジェクトの言語・FWを問わず汎用的に使える。コードベースを直接読んでアーキテクチャ判断を行う。
$ install --global
skillsauthnpx skillsauth add classmethod/tsumiki ipa-security-guideInstall this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.
Security Scan Results
3 of 9 scanners reported clean
Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.
3
Scanners Passed
9
Scanners in report
Clean
TrivyContainer and dependency vulnerability scanner
95%
Clean
SemgrepStatic code analysis for vulnerabilities
95%
Clean
mcp-scan (Snyk)Model Context Protocol security validation
95%
Skipped
Snyk (dep)Open source security scanning
50%
Skipped
Socket.devSupply chain security analysis
50%
Skipped
VirusTotalMulti-engine malware detection
50%
Skipped
CrowdStrikeAdvanced threat intelligence
50%
Skipped
OSV-ScannerOpen Source Vulnerability database check
50%
Skipped
OWASP Dep-Check
50%
Last scanned: May 28, 2026, 2:45 AM121.8s4 files scanned
SKILL.md
- name:
- ipa-security-guide
- description:
- ipa-security-check をはじめとするセキュリティ診断ツールが出力したレポートを読み込み、各検出項目を優先順位付きの dev-debug 依頼リストに変換する。対象プロジェクトの言語・FWを問わず汎用的に使える。コードベースを直接読んでアーキテクチャ判断を行う。
- argument-hint:
- [レポートファイルパス (省略時: ipa-security-report-*.md を自動検出)] [-o 出力ファイルパス]
IPA Security Guide Skill
このスキルが行うこと
ipa-security-check をはじめとするセキュリティ診断ツールが出力したレポートを読み込み、以下を出力する。
- 対応不要候補リスト — アーキテクチャや設計上の理由で対応不要と考えられる件と根拠。最終判断はユーザーが行う
- 優先順位付き依頼リスト —
tsumiki:dev-debugにそのままコピペできるフォーマット - まとめテーブル — 全件を一覧で整理
外部ツールへの依存なし。コードベースを直接読んでアーキテクチャを判断する。
起動方法
/ipa-security-guide
/ipa-security-guide <レポートファイルパス>
/ipa-security-guide -o <出力ファイルパス>
/ipa-security-guide <レポートファイルパス> -o <出力ファイルパス>
- レポートファイルパスを省略した場合は、
security-reports/ipa-security-report-*.mdを優先して自動検出する。見つからない場合はカレントディレクトリのipa-security-report-*.mdも検索する- 1件のみ: 自動で使用する
- 複数件: ファイル名一覧を提示し、AskUserQuestion でユーザーに選んでもらう
- 0件:
ipa-security-report.mdへのフォールバックを試みる。それも存在しない場合はエラーを報告して終了する
-oを指定した場合は結果をそのパスに Write する。省略した場合は画面出力のみ
前提条件
- 入力はセキュリティ診断ツール(
ipa-security-check等)が生成した Markdown レポートであること - 対象プロジェクトの言語・フレームワークは問わない
ファイル構成
ipa-security-guide/
├── SKILL.md ← 本ファイル(Claude が最初に読む)
├── knowledge/
│ ├── triage.md ← 対応不要の判断基準・除外対象の定義
│ └── priority.md ← 優先順位・グループ化の基準
└── lib/
└── output_formatter.md ← 依頼リスト・結果出力のフォーマット定義
実行手順
ステップ1: 事前準備(一括読み込み)
以下をすべて Read する。件ごとに読み直さない。
- レポートファイル(「起動方法」のファイル検出ルールに従って特定する)
- 存在しない場合はエラーを報告して終了
- レポートのヘッダーからプロジェクトのルートディレクトリを推定する
knowledge/triage.mdknowledge/priority.mdlib/output_formatter.md
ステップ2: 検出ファイルを一括で Read する
レポートから全検出項目のファイルパスを一覧化し、まとめて Read する。 1件ずつ処理しながら読むのではなく、先にすべて読んでコンテキストに入れる。
- ファイルが見つからない場合はユーザーに正しいパスを確認してから進む
- 無闇に Grep で全ファイルを探さない
- 判断に必要な関連ファイルは「この件を分析した結果、判断できなかった場合のみ」追加で Read する
ステップ3: 全件を一括で分析する
ステップ1〜2で読んだ内容をもとに、全検出項目を一括で分析する。件ごとにループして都度判断するのではなく、全体像を把握した上でまとめて行う。
分析対象から除外する finding(triage.md の除外対象セクションも参照):
<!-- ipa-triage:begin ... ipa-triage:end -->ブロックでstatus: 問題なしまたはstatus: 保留が設定されているもの(ユーザーがトリアージ済み)## 偽陽性候補セクションに分類されているもの(false-positive-review が偽陽性の疑いありと判定)- 分析対象は
status: 未対応とstatus: 対応するの finding のみ
各件について以下を判断する:
3a. ファイルの目的と検出箇所の文脈を把握する
- このファイルが何をしているか
- 検出箇所がどのような文脈にあるか
- 修正が可能か、どう修正すべきか
3b. 対応不要候補の特定
triage.md(ステップ1で読済み)の基準で対応不要候補を特定する。
候補が見つかった場合は必ずユーザーに提示して最終判断を求める。スキル単独で確定しない。
ユーザーが対応不要と確定した項目については ipa-skip コメント追加の依頼を生成する。
3c. グループ化と優先順位付け
priority.md(ステップ1で読済み)の基準でグループ化と優先順位を決める。
ステップ4: 依頼リストを生成・出力する
output_formatter.md(ステップ1で読済み)のフォーマットに従って結果を出力する。
-o オプションが指定されている場合は、出力内容を指定パスに Write する。
省略されている場合は画面に出力するのみ。
重要な原則
- コードを読む前に対応不要と断定しない — 判断は必ずコードを確認してから下す
- 対応不要の最終判断はユーザーが行う — スキルは候補と根拠を提示するだけ。確定はユーザーの承認後
- 不明点はユーザーに確認する — コードから辿れない場合は推測せず一時停止して聞く。ファイルパスやアーキテクチャの詳細など、ユーザーが把握していることは多い
- 推測で判断しない — 確認できなかった情報は「確認できず」と明記し、依頼文内に調査を含める
- アーキテクチャ依存の判断は根拠付きで明示する — 「なぜ対応しなくてよいか」を省略しない
- 依頼文は tsumiki が迷わず実行できる粒度にする — 情報が足りない依頼は作らない
- 不要な Read を避ける — 検出ファイルから判断できる場合は追加の Grep・Read をしない
Related Skills
classmethod/ipa-security-check
testing
VerifiedTrustedCommunity
IPA「安全なウェブサイトの作り方 改訂第7版」「安全なSQLの呼び出し方」「ウェブ健康診断仕様」「セキュリティ実装チェックリスト」「安全なウェブサイトの運用管理に向けての20ヶ条」に基づき、ソースコードを静的に検査して脆弱性候補を検出する。発見した問題には IPA 原典の出典 (文書名・章・ページ・URL) を必ず付与する。
966SKILL.mdUpdated May 20, 2026
classmethod/skills/kairo-implement
data-ai
VerifiedTrustedCommunity
分割されたタスクを順番に、またはユーザが指定したタスクを実装します。既存のTDDコマンドを活用して品質の高い実装を行います。
961SKILL.mdUpdated May 20, 2026
classmethod/dev-webtest
tools
VerifiedTrustedCommunity
This skill should be used when the user asks to "dev-webtest", "Webテスト", "画面の動作確認", "E2Eテスト", "web test", "visual check", "モンキーテスト", "アクセシビリティチェック", "レスポンシブテスト", "フォームテスト". Playwright CLIを使ってWebアプリの動作確認・視覚テスト・アクセシビリティ・レスポンシブ・フォームバリデーションを実行し、問題を検出・記録する。
961SKILL.mdUpdated May 20, 2026
classmethod/dev-webtest-plan
development
VerifiedTrustedCommunity
This skill should be used when the user asks to "dev-webtest-plan", "Webテスト計画を生成", "テスト計画を作成", "webtest plan", "E2Eテスト計画", "画面テスト計画", "generate webtest plan", "create test plan from requirements", "webtest計画を更新", "テスト計画の差分更新", "update webtest plan", "画面仕様からテスト更新". dev-planの出力からPlaywright用のWebテスト計画ファイルを自動生成する。画面仕様の変更差分からテスト計画を更新する差分更新モードも対応。
961SKILL.mdUpdated May 20, 2026