Adoption

Agent Skills are supported by leading AI development tools.

VS Code Gemini CLI GitHub Goose Amp Cursor Claude Code Letta OpenCode Claude OpenAI Codex Factory VS Code Gemini CLI GitHub Goose Amp Cursor Claude Code Letta OpenCode Claude OpenAI Codex Factory

marshall0524/springboot-security

Name: springboot-security
Author: marshall0524

docs/ja-JP/skills/springboot-security/SKILL.md

npx skillsauth add marshall0524/everythingclaudecode springboot-security

Clean

TrivyContainer and dependency vulnerability scanner

Clean

SemgrepStatic code analysis for vulnerabilities

Clean

mcp-scan (Snyk)Model Context Protocol security validation

Skipped

Snyk (dep)Open source security scanning

Skipped

Socket.devSupply chain security analysis

Skipped

VirusTotalMulti-engine malware detection

Skipped

CrowdStrikeAdvanced threat intelligence

Skipped

OSV-ScannerOpen Source Vulnerability database check

Skipped

OWASP Dep-Check

Spring Boot セキュリティレビュー

認証の追加、入力処理、エンドポイント作成、またはシークレット処理時に使用します。

認証

ステートレスJWTまたは失効リスト付き不透明トークンを優先
セッションには httpOnly、Secure、SameSite=Strict クッキーを使用
OncePerRequestFilter またはリソースサーバーでトークンを検証

@Component
public class JwtAuthFilter extends OncePerRequestFilter {
  private final JwtService jwtService;

  public JwtAuthFilter(JwtService jwtService) {
    this.jwtService = jwtService;
  }

  @Override
  protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response,
      FilterChain chain) throws ServletException, IOException {
    String header = request.getHeader(HttpHeaders.AUTHORIZATION);
    if (header != null && header.startsWith("Bearer ")) {
      String token = header.substring(7);
      Authentication auth = jwtService.authenticate(token);
      SecurityContextHolder.getContext().setAuthentication(auth);
    }
    chain.doFilter(request, response);
  }
}

認可

メソッドセキュリティを有効化: @EnableMethodSecurity
@PreAuthorize("hasRole('ADMIN')") または @PreAuthorize("@authz.canEdit(#id)") を使用
デフォルトで拒否し、必要なスコープのみ公開

入力検証

@Valid を使用してコントローラーでBean Validationを使用
DTOに制約を適用: @NotBlank、@Email、@Size、カスタムバリデーター
レンダリング前にホワイトリストでHTMLをサニタイズ

SQLインジェクション防止

Spring Dataリポジトリまたはパラメータ化クエリを使用
ネイティブクエリには :param バインディングを使用し、文字列を連結しない

CSRF保護

ブラウザセッションアプリの場合はCSRFを有効にし、フォーム/ヘッダーにトークンを含める
Bearerトークンを使用する純粋なAPIの場合は、CSRFを無効にしてステートレス認証に依存

http
  .csrf(csrf -> csrf.disable())
  .sessionManagement(sm -> sm.sessionCreationPolicy(SessionCreationPolicy.STATELESS));

シークレット管理

ソースコードにシークレットを含めない。環境変数またはvaultから読み込む
application.yml を認証情報から解放し、プレースホルダーを使用
トークンとDB認証情報を定期的にローテーション

セキュリティヘッダー

http
  .headers(headers -> headers
    .contentSecurityPolicy(csp -> csp
      .policyDirectives("default-src 'self'"))
    .frameOptions(HeadersConfigurer.FrameOptionsConfig::sameOrigin)
    .xssProtection(Customizer.withDefaults())
    .referrerPolicy(rp -> rp.policy(ReferrerPolicyHeaderWriter.ReferrerPolicy.NO_REFERRER)));

レート制限

高コストなエンドポイントにBucket4jまたはゲートウェイレベルの制限を適用
バーストをログに記録してアラートを送信し、リトライヒント付きで429を返す

依存関係のセキュリティ

CIでOWASP Dependency Check / Snykを実行
Spring BootとSpring Securityをサポートされているバージョンに保つ
既知のCVEでビルドを失敗させる

ロギングとPII

シークレット、トークン、パスワード、完全なPANデータをログに記録しない
機密フィールドを編集し、構造化JSONロギングを使用

ファイルアップロード

サイズ、コンテンツタイプ、拡張子を検証
Webルート外に保存し、必要に応じてスキャン

リリース前チェックリスト

[ ] 認証トークンが正しく検証され、期限切れになっている
[ ] すべての機密パスに認可ガードがある
[ ] すべての入力が検証およびサニタイズされている
[ ] 文字列連結されたSQLがない
[ ] アプリケーションタイプに対してCSRF対策が正しい
[ ] シークレットが外部化され、コミットされていない
[ ] セキュリティヘッダーが設定されている
[ ] APIにレート制限がある
[ ] 依存関係がスキャンされ、最新である
[ ] ログに機密データがない

注意: デフォルトで拒否し、入力を検証し、最小権限を適用し、設定によるセキュリティを優先します。

marshall0524/springboot-security

docs/ja-JP/skills/springboot-security/SKILL.md

Spring Security best practices for authn/authz, validation, CSRF, secrets, headers, rate limiting, and dependency security in Java Spring Boot services.

13 stars

development

Updated Apr 21, 2026

$ install --global

skillsauth

npx skillsauth add marshall0524/everythingclaudecode springboot-security

Install this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.

Security Scan Results

3 of 9 scanners reported clean

Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.

Scanners Passed

Scanners in report

Clean

TrivyContainer and dependency vulnerability scanner

95%

Clean

SemgrepStatic code analysis for vulnerabilities

95%

Clean

mcp-scan (Snyk)Model Context Protocol security validation

95%

Skipped

Snyk (dep)Open source security scanning

50%

Skipped

Socket.devSupply chain security analysis

50%

Skipped

VirusTotalMulti-engine malware detection

50%

Skipped

CrowdStrikeAdvanced threat intelligence

50%

Skipped

OSV-ScannerOpen Source Vulnerability database check

50%

Skipped

OWASP Dep-Check

50%

Last scanned: Mar 29, 2026, 5:17 AM36.8s1 file scanned

SKILL.md

name:: springboot-security
description:: Spring Security best practices for authn/authz, validation, CSRF, secrets, headers, rate limiting, and dependency security in Java Spring Boot services.

Spring Boot セキュリティレビュー

認証の追加、入力処理、エンドポイント作成、またはシークレット処理時に使用します。

認証

ステートレスJWTまたは失効リスト付き不透明トークンを優先
セッションには httpOnly、Secure、SameSite=Strict クッキーを使用
OncePerRequestFilter またはリソースサーバーでトークンを検証

@Component
public class JwtAuthFilter extends OncePerRequestFilter {
  private final JwtService jwtService;

  public JwtAuthFilter(JwtService jwtService) {
    this.jwtService = jwtService;
  }

  @Override
  protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response,
      FilterChain chain) throws ServletException, IOException {
    String header = request.getHeader(HttpHeaders.AUTHORIZATION);
    if (header != null && header.startsWith("Bearer ")) {
      String token = header.substring(7);
      Authentication auth = jwtService.authenticate(token);
      SecurityContextHolder.getContext().setAuthentication(auth);
    }
    chain.doFilter(request, response);
  }
}

認可

メソッドセキュリティを有効化: @EnableMethodSecurity
@PreAuthorize("hasRole('ADMIN')") または @PreAuthorize("@authz.canEdit(#id)") を使用
デフォルトで拒否し、必要なスコープのみ公開

入力検証

@Valid を使用してコントローラーでBean Validationを使用
DTOに制約を適用: @NotBlank、@Email、@Size、カスタムバリデーター
レンダリング前にホワイトリストでHTMLをサニタイズ

SQLインジェクション防止

Spring Dataリポジトリまたはパラメータ化クエリを使用
ネイティブクエリには :param バインディングを使用し、文字列を連結しない

CSRF保護

ブラウザセッションアプリの場合はCSRFを有効にし、フォーム/ヘッダーにトークンを含める
Bearerトークンを使用する純粋なAPIの場合は、CSRFを無効にしてステートレス認証に依存

http
  .csrf(csrf -> csrf.disable())
  .sessionManagement(sm -> sm.sessionCreationPolicy(SessionCreationPolicy.STATELESS));

シークレット管理

ソースコードにシークレットを含めない。環境変数またはvaultから読み込む
application.yml を認証情報から解放し、プレースホルダーを使用
トークンとDB認証情報を定期的にローテーション

セキュリティヘッダー

http
  .headers(headers -> headers
    .contentSecurityPolicy(csp -> csp
      .policyDirectives("default-src 'self'"))
    .frameOptions(HeadersConfigurer.FrameOptionsConfig::sameOrigin)
    .xssProtection(Customizer.withDefaults())
    .referrerPolicy(rp -> rp.policy(ReferrerPolicyHeaderWriter.ReferrerPolicy.NO_REFERRER)));

レート制限

高コストなエンドポイントにBucket4jまたはゲートウェイレベルの制限を適用
バーストをログに記録してアラートを送信し、リトライヒント付きで429を返す

依存関係のセキュリティ

CIでOWASP Dependency Check / Snykを実行
Spring BootとSpring Securityをサポートされているバージョンに保つ
既知のCVEでビルドを失敗させる

ロギングとPII

シークレット、トークン、パスワード、完全なPANデータをログに記録しない
機密フィールドを編集し、構造化JSONロギングを使用

ファイルアップロード

サイズ、コンテンツタイプ、拡張子を検証
Webルート外に保存し、必要に応じてスキャン

リリース前チェックリスト

[ ] 認証トークンが正しく検証され、期限切れになっている
[ ] すべての機密パスに認可ガードがある
[ ] すべての入力が検証およびサニタイズされている
[ ] 文字列連結されたSQLがない
[ ] アプリケーションタイプに対してCSRF対策が正しい
[ ] シークレットが外部化され、コミットされていない
[ ] セキュリティヘッダーが設定されている
[ ] APIにレート制限がある
[ ] 依存関係がスキャンされ、最新である
[ ] ログに機密データがない

注意: デフォルトで拒否し、入力を検証し、最小権限を適用し、設定によるセキュリティを優先します。

Related Skills

marshall0524/visa-doc-translate

documentation

VerifiedTrustedCommunity

Translate visa application documents (images) to English and create a bilingual PDF with original and translation

13SKILL.mdUpdated Apr 21, 2026

marshall0524/visa-doc-translate

marshall0524/videodb

tools

VerifiedTrustedCommunity

See, Understand, Act on video and audio. See- ingest from local files, URLs, RTSP/live feeds, or live record desktop; return realtime context and playable stream links. Understand- extract frames, build visual/semantic/temporal indexes, and search moments with timestamps and auto-clips. Act- transcode and normalize (codec, fps, resolution, aspect ratio), perform timeline edits (subtitles, text/image overlays, branding, audio overlays, dubbing, translation), generate media assets (image, audio, video), and create real time alerts for events from live streams or desktop capture.

13SKILL.mdUpdated Apr 21, 2026

marshall0524/verification-loop

development

VerifiedTrustedCommunity

A comprehensive verification system for Claude Code sessions.

13SKILL.mdUpdated Apr 21, 2026

marshall0524/verification-loop

marshall0524/tdd-workflow

development

VerifiedTrustedCommunity

Use this skill when writing new features, fixing bugs, or refactoring code. Enforces test-driven development with 80%+ coverage including unit, integration, and E2E tests.

13SKILL.mdUpdated Apr 21, 2026

marshall0524/tdd-workflow

Download

For Claude Desktop. Download once, then upload the file in the app — no terminal needed.

Need help? View full Cowork setup guide →

Install manually

Choose your platform

# Clone the repo
git clone https://github.com/marshall0524/everythingclaudecode.git

# Copy into Claude Code skills folder (global)
cp -r everythingclaudecode/docs/ja-JP/skills/springboot-security ~/.claude/skills/

Claude Code Skills — official skills path docs.

Repository

marshall0524/everythingclaudecode

13 stars

Compatible with

Claude Code

OpenAI Codex CLI

ChatGPT