kryota-dev/cc-security-review
home/dot_agents/skills/cc-security-review/SKILL.md
`cc-security-review` エージェントを起動して独立したコンテキストでセキュリティレビューを実行する。 OWASP Top 10 および一般的なセキュリティベストプラクティスに基づいた分析を行う。 トリガー: "cc-security-review", "ccでセキュリティレビュー", "脆弱性チェック", "セキュリティ分析", "security check" 使用場面: (1) PR差分のセキュリティ分析 (2) コードベースのセキュリティ監査 (3) 特定ファイル/ディレクトリのセキュリティレビュー
$ install --global
skillsauthnpx skillsauth add kryota-dev/dotfiles cc-security-reviewInstall this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.
Security Scan Results
3 of 9 scanners reported clean
Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.
3
Scanners Passed
9
Scanners in report
Clean
TrivyContainer and dependency vulnerability scanner
95%
Clean
SemgrepStatic code analysis for vulnerabilities
95%
Clean
mcp-scan (Snyk)Model Context Protocol security validation
95%
Skipped
Snyk (dep)Open source security scanning
50%
Skipped
Socket.devSupply chain security analysis
50%
Skipped
VirusTotalMulti-engine malware detection
50%
Skipped
CrowdStrikeAdvanced threat intelligence
50%
Skipped
OSV-ScannerOpen Source Vulnerability database check
50%
Skipped
OWASP Dep-Check
50%
Last scanned: Jun 5, 2026, 6:59 AM27.3s2 files scanned
SKILL.md
- name:
- cc-security-review
- description:
- |
- トリガー:
- cc-security-review", "ccでセキュリティレビュー", "脆弱性チェック", "セキュリティ分析", "security check
- 使用場面:
- (1) PR差分のセキュリティ分析 (2) コードベースのセキュリティ監査 (3) 特定ファイル/ディレクトリのセキュリティレビュー
- argument-hint:
- [PR番号 | PR URL | ブランチ名 | ファイルパス | ディレクトリパス](省略可)
セキュリティレビュー
cc-security-review エージェント(~/.claude/agents/cc-security-review.md)を Agent ツールで起動し、セキュリティ専門の観点でコードレビューを実行する。OWASP Top 10 を含む包括的なチェックリストはエージェント定義の system prompt に内蔵されている。
SSOT としての位置づけ
- セキュリティレビューのペルソナ・OWASP チェックリスト・出力形式・「(未確認)」ルール・差分取得方法 は エージェント定義
~/.claude/agents/cc-security-review.mdが Single Source of Truth。本 skill では再定義しない。 - 本 skill はレビュー対象の特定とエージェント起動を担うオーケストレーション層。
multi-reviewskill から呼ばれる場合も、同じcc-security-reviewエージェントを起動する。
引数の解釈
$ARGUMENTS を以下の優先順で判定する:
- PR番号 (
^\d+$または^#\d+$) - PR URL (
github.comを含む URL): URL から PR 番号を抽出 - ファイルパス (
.を含む拡張子) - ディレクトリパス (ディレクトリとして存在)
- ブランチ名 (上記に該当しない文字列):
<branch>...HEADの差分 - 引数なし: デフォルトブランチとの差分
実行手順
- 引数を解析してレビュー対象を特定する
cc-security-reviewエージェントを起動する(Agent ツール、subagent_type: cc-security-review)。プロンプトには「レビュー対象の指定 + 差分取得コマンド + 作業ディレクトリの絶対パス」を渡す。差分はエージェント自身が取得するため、本 skill 側で差分を取得・埋め込みしない。チェックリスト・出力形式もエージェント定義に内蔵されているため再掲しない。- エージェントの最終メッセージ(分析結果)をユーザーに提示する
Agent ツール呼び出し例
Agent(
subagent_type: "cc-security-review",
description: "PR #123 のセキュリティレビュー",
prompt: """
GitHub PR #123(リポジトリ <owner>/<repo>)のコード差分をセキュリティ観点でレビューしてください。
作業ディレクトリ: <repo の絶対パス>
差分取得: `gh pr diff 123`
認証・認可・入力処理・機密情報・外部通信・シリアライズに関わる変更を重点的に、周辺コードを Read/Grep で確認してから評価してください。
"""
)
- ディレクトリ全体の監査では差分の代わりに対象ディレクトリのパスを渡し、エージェントに Read/Glob/Grep で自律探索させる。
multi-reviewから並列起動する場合はrun_in_background: trueを付ける。- エージェントは Bash を
gh/git diff/grep/find/git log/cat等の読み取り専用にのみ使う。
注意事項
コスト管理
- エージェントはメインセッションのモデルを継承(
model: inherit)。ディレクトリ全体監査はターン数が増えコストが高い。対象を絞ることを推奨。
エラーハンドリング
- 差分が空: エージェントがその旨を報告
- エージェントが途中でスキップ/失敗した場合: 1 回リトライ。再失敗ならその旨を報告
チェックリストのカスタマイズ
- チェック項目を追加・変更する場合は エージェント定義
~/.claude/agents/cc-security-review.md(ソース:~/dotfiles/home/dot_claude/agents/cc-security-review.md)の OWASP チェックリスト節を編集する。
Related Skills
kryota-dev/cc-code-review
development
VerifiedTrustedCommunity
`cc-code-review` エージェントを起動して独立したコンテキストでコードレビューを実行する。 現在のセッションのバイアスのないフレッシュな視点で、プロジェクトの CLAUDE.md を踏まえたレビューを行う。 トリガー: "cc-code-review", "ccでレビュー", "別の視点でレビュー", "セカンドオピニオン" 使用場面: (1) PRのコードレビュー (2) ブランチ差分のレビュー (3) 特定ファイルのレビュー (4) 現在の変更のレビュー
1SKILL.mdUpdated Jun 5, 2026
kryota-dev/wtp
tools
VerifiedTrustedCommunity
Comprehensive guide for the `wtp` (Worktree Plus) CLI by satococoa — an enhanced Git worktree manager. Use this whenever the user wants to create, list, remove, or navigate Git worktrees with wtp, mentions `wtp add`/`wtp cd`/`wtp list`/`wtp remove`/`wtp exec`, asks about automatic worktree paths from branch names, post-create hooks (copy/symlink/command) in `.wtp.yml`, branch tracking for worktrees, or shell integration (`wtp shell-init`, `wtp hook`, tab completion, auto-cd). Trigger this even when the user just describes the workflow — e.g. 'spin up a worktree for this feature branch', 'jump to my auth worktree', 'clean up the worktree and its branch' — without naming wtp explicitly, as long as wtp is the available tool.
1SKILL.mdUpdated Jun 4, 2026
kryota-dev/supabase
tools
VerifiedTrustedCommunity
Use when doing ANY task involving Supabase. Triggers: Supabase products (Database, Auth, Edge Functions, Realtime, Storage, Vectors, Cron, Queues); client libraries and SSR integrations (supabase-js, @supabase/ssr) in Next.js, React, SvelteKit, Astro, Remix; auth issues (login, logout, sessions, JWT, cookies, getSession, getUser, getClaims, RLS); Supabase CLI or MCP server; schema changes, migrations, security audits, Postgres extensions (pg_graphql, pg_cron, pg_vector).
1SKILL.mdUpdated Jun 4, 2026
kryota-dev/supabase-postgres-best-practices
data-ai
VerifiedTrustedCommunity
Postgres performance optimization and best practices from Supabase. Use this skill when writing, reviewing, or optimizing Postgres queries, schema designs, or database configurations.
1SKILL.mdUpdated Jun 4, 2026