hirokimry/audit-security
templates/claude/skills/audit-security/SKILL.md
CISO による月次セキュリティ監査。直近30日間の変更から脆弱性・認証変更を分析し、 `knowledge/security/audit-YYYY-MM-DD.md` に記録する。full プリセット限定。 「/audit-security」「セキュリティ監査」と言った時に使用。
$ install --global
skillsauthnpx skillsauth add hirokimry/vibecorp audit-securityInstall this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.
Security Scan Results
3 of 9 scanners reported clean
Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.
3
Scanners Passed
9
Scanners in report
Clean
TrivyContainer and dependency vulnerability scanner
95%
Clean
SemgrepStatic code analysis for vulnerabilities
95%
Clean
mcp-scan (Snyk)Model Context Protocol security validation
95%
Skipped
Snyk (dep)Open source security scanning
50%
Skipped
Socket.devSupply chain security analysis
50%
Skipped
VirusTotalMulti-engine malware detection
50%
Skipped
CrowdStrikeAdvanced threat intelligence
50%
Skipped
OSV-ScannerOpen Source Vulnerability database check
50%
Skipped
OWASP Dep-Check
50%
Last scanned: Apr 16, 2026, 7:27 AM6.3s1 file scanned
SKILL.md
- name:
- audit-security
- description:
- >
ultrathink
/audit-security: 月次セキュリティ監査
CISO エージェントによる月次セキュリティ監査を自動化する。直近1ヶ月の変更から脆弱性・認証変更を分析し、監査レポートを knowledge/security/ に保存する。脆弱性検出時は Issue を起票する。
前提条件
- full プリセット専用(CISO エージェントが必要)
- CISO エージェント定義(
.claude/agents/ciso.md)が配置済み knowledge/security/security-audit-template.mdが存在
ワークフロー
1. プリセット確認
awk '/^preset:[[:space:]]*/ { sub(/^preset:[[:space:]]*/, ""); print; exit }' .claude/vibecorp.yml
full 以外の場合は「/audit-security は full プリセット専用です」と報告して終了する。
2. 監査範囲取得
直近30日間の変更を取得する:
git log --since="30 days ago" --oneline
git diff "@{30 days ago}"..HEAD --stat
コミット数が0件の場合は「監査対象期間に変更なし」とレポートし、空の監査ファイルを生成して終了する。
3. CISO エージェント起動
CISO エージェントに以下を渡して起動する(Agent ツール):
あなたは CISO として、直近1ヶ月のコード変更に対するセキュリティ監査を実施してください。
## 監査範囲
git commit range: @{30 days ago}..HEAD
## 変更内容
{git log / git diff の内容}
## 観点
1. 認証・認可ロジックの変更(auth, permission, token 扱い)
2. 新規依存パッケージの追加(package.json / requirements.txt / go.mod)
3. hooks のガードレール変更(protect-files.sh, diagnose-guard.sh 等)
4. secrets / credentials 扱い箇所の変更(ANTHROPIC_API_KEY, gh auth 等)
5. OWASP Top 10 該当変更の有無
## 参照ドキュメント
- docs/SECURITY.md
- rules/autonomous-restrictions.md
- knowledge/security/security-audit-template.md
## 出力
knowledge/security/security-audit-template.md の雛形に沿って監査結果を記述してください。
Critical / Major / Minor で指摘を分類してください。
OWASP Top 10 チェック表も埋めてください。
4. レポート保存
CISO の出力を knowledge/security/audit-YYYY-MM-DD.md に保存する:
today=$(date -u +%Y-%m-%d)
cp .claude/knowledge/security/security-audit-template.md \
".claude/knowledge/security/audit-${today}.md"
その後、CISO の出力内容で中身を置き換える。
5. 脆弱性検出時の Issue 起票
Critical または Major 指摘がある場合、/issue スキルで Issue を起票する:
- ラベル:
audit,security - タイトルプレフィックス:
[audit-security] - 本文: 監査レポートのサマリ + レポートファイルへのリンク
Minor のみの場合は起票しない(レポート保存のみ)。
6. 結果レポート
## /audit-security 完了
### 監査範囲
- 期間: YYYY-MM-DD 〜 YYYY-MM-DD
- コミット数: N
- 変更ファイル数: N
### 指摘サマリ
- Critical: N 件
- Major: N 件
- Minor: N 件
### OWASP Top 10 該当
- A01 / A02 / A03 / A07 / A08: あり / なし
### 出力
- レポート: knowledge/security/audit-YYYY-MM-DD.md
- 起票 Issue: {URL} / なし
定期実行
/schedule または cron で月次実行:
# 毎月1日 09:00 JST に実行
/schedule monthly "0 0 1 * *" /audit-security
制約
- コード変更は一切行わない — 監査レポートと Issue 起票のみ
git add/git commit/git pushは実行しない--force、--hard、--no-verifyは使用しない- jq では string interpolation
\(...)を使わない — 必ず+で結合する - コマンドをそのまま実行する —
2>/dev/null、|| echo、; echo等のリダイレクトやフォールバックを付加しない
Related Skills
hirokimry/prompts-extract-all
data-ai
VerifiedTrustedCommunity
skills/**/SKILL.md 内に embed された 5 行以上のエージェント呼出プロンプトテンプレ・長文ブロックを .claude/rules/notification-prompt-extraction.md 基準で skills/<skill>/prompts/<name>.md に切り出す migration skill。「/prompts-extract-all」「プロンプト切り出し」「プロンプト extract」「SKILL.md プロンプト migration」と言った時に使用。検出は awk でフェンスコードブロックを抽出して行数カウント、要否判定は LLM が閾値・用途軸・命名規約と照合。diff 提案 → CEO 承認 → 書換の 2 段階で挙動を壊さず適用する。自動マージ禁止、自律ループ対象外。
1SKILL.mdUpdated May 19, 2026
hirokimry/notifications-extract-all
documentation
VerifiedTrustedCommunity
.github/workflows/**/*.{yml,yaml} の --body 通知文と hooks/**/*.sh の長文 echo/printf/heredoc を .claude/rules/notification-prompt-extraction.md 基準で個別 .md ファイルに切り出す migration skill。「/notifications-extract-all」「通知文切り出し」「通知文 extract」「workflow 通知 migration」と言った時に使用。検出は grep で機械絞り込み、要否判定は LLM が閾値・命名規約と照合。diff 提案 → CEO 承認 → 書換の 2 段階で挙動を壊さず適用する。自動マージ禁止、自律ループ対象外。
1SKILL.mdUpdated May 19, 2026
hirokimry/comments-rewrite-all
development
VerifiedTrustedCommunity
`**/*.sh` / `**/*.js` / `**/*.ts` / `**/*.py` / `**/*.rb` / `**/*.go` / 設定ファイル等のコード内コメントを一括棚卸しし、 `.claude/rules/code-comments.md` と機械的に照合する。 diff 提案 → CEO 承認 → 書換の 2 段階で自動マージを禁じる。 生成コード・`node_modules`・`vendor`・`dist`・`build` 等は除外する。 「/vibecorp:comments-rewrite-all」「コメント全書き直し」「コード内コメント棚卸し」 と言った時に使用。
1SKILL.mdUpdated May 19, 2026
hirokimry/prompts-rewrite-all
development
VerifiedTrustedCommunity
skills/**/SKILL.md・agents/*.md・.claude/rules/*.md を .claude/rules/prompt-writing.md 基準で一括書き直し提案するスキル。「/prompts-rewrite-all」「プロンプト書き直し」「スキル一括書き直し」「エージェント書き直し」と言った時に使用。claude-code-guide サブエージェントで Claude Code 公式仕様(docs.claude.com)を確認し、prompt-writing.md の指針 MUST / 禁止パターンと照合する。diff 提案 → CEO 承認 → 書き換えの 2 段階で挙動を壊さず適用する。自動マージ禁止。
1SKILL.mdUpdated May 18, 2026