// ipa-security-check をはじめとするセキュリティ診断ツールが出力したレポートを読み込み、各検出項目を優先順位付きの dev-debug 依頼リストに変換する。対象プロジェクトの言語・FWを問わず汎用的に使える。コードベースを直接読んでアーキテクチャ判断を行う。
IPA「安全なウェブサイトの作り方 改訂第7版」「安全なSQLの呼び出し方」「ウェブ健康診断仕様」「セキュリティ実装チェックリスト」「安全なウェブサイトの運用管理に向けての20ヶ条」に基づき、ソースコードを静的に検査して脆弱性候補を検出する。発見した問題には IPA 原典の出典 (文書名・章・ページ・URL) を必ず付与する。
This skill should be used when the user asks to "dev-context", "プロジェクトコンテキストを生成", "プロジェクトを分析", "generate project context", "analyze project", "コンテキストを更新". プロジェクトの技術スタック・テストフレームワーク・コーディング規約・アーキテクチャを自動分析し、コンパクトなコンテキストファイルを生成する。
This skill should be used when the user asks to "dev-debug", "テストが失敗する", "ビルドエラーを直して", "デバッグ", "debug failing tests", "fix build error", "エラーを修正", "コンパイルエラー", "環境の問題を解決". テスト失敗、ビルドエラー、環境問題など様々なエラーパターンをカテゴリ別に診断し、最小コンテキストで修正する。
This skill should be used when the user asks to "dev-impl", "タスクを実装", "テストファースト実装", "implement task", "実装を開始", "クイック修正", "quick fix", "dev-impl auth 001". TDDをガードレールとしたテストファースト実装を行う。通常モード(Plan+タスク指定)とクイックモード(直接指示)に対応。
This skill should be used when the user asks to "dev-init", "技術スタックを選定", "新規プロジェクト初期化", "initialize tech stack", "プロジェクトをセットアップ", "setup project", "scaffold project", "プロジェクト作成", "tech stackを決める". インタラクティブなヒアリングでプロジェクトの技術スタックを決定し、dev-context互換のコンテキストファイルを生成する。承認制でプロジェクトスキャフォールディングも実行可能。
This skill should be used when the user asks to "dev-navigate", "どこから始めれば", "何を使えばいい", "スキルを選んで", "ナビ", "navigate", "which skill", "how to start", "開発の進め方", "何から始める". 開発者がやりたいことをヒアリングし、最適なtsumikiスキルとその実行順序をナビゲーションする。
| name | ipa-security-guide |
| description | ipa-security-check をはじめとするセキュリティ診断ツールが出力したレポートを読み込み、各検出項目を優先順位付きの dev-debug 依頼リストに変換する。対象プロジェクトの言語・FWを問わず汎用的に使える。コードベースを直接読んでアーキテクチャ判断を行う。 |
| argument-hint | [レポートファイルパス (省略時: ipa-security-report-*.md を自動検出)] [-o 出力ファイルパス] |
ipa-security-check をはじめとするセキュリティ診断ツールが出力したレポートを読み込み、以下を出力する。
tsumiki:dev-debug にそのままコピペできるフォーマット外部ツールへの依存なし。コードベースを直接読んでアーキテクチャを判断する。
/ipa-security-guide
/ipa-security-guide <レポートファイルパス>
/ipa-security-guide -o <出力ファイルパス>
/ipa-security-guide <レポートファイルパス> -o <出力ファイルパス>
security-reports/ipa-security-report-*.md を優先して自動検出する。見つからない場合はカレントディレクトリの ipa-security-report-*.md も検索する
ipa-security-report.md へのフォールバックを試みる。それも存在しない場合はエラーを報告して終了する-o を指定した場合は結果をそのパスに Write する。省略した場合は画面出力のみipa-security-check 等)が生成した Markdown レポートであることipa-security-guide/
├── SKILL.md ← 本ファイル(Claude が最初に読む)
├── knowledge/
│ ├── triage.md ← 対応不要の判断基準・除外対象の定義
│ └── priority.md ← 優先順位・グループ化の基準
└── lib/
└── output_formatter.md ← 依頼リスト・結果出力のフォーマット定義
以下をすべて Read する。件ごとに読み直さない。
knowledge/triage.mdknowledge/priority.mdlib/output_formatter.mdレポートから全検出項目のファイルパスを一覧化し、まとめて Read する。 1件ずつ処理しながら読むのではなく、先にすべて読んでコンテキストに入れる。
ステップ1〜2で読んだ内容をもとに、全検出項目を一括で分析する。件ごとにループして都度判断するのではなく、全体像を把握した上でまとめて行う。
分析対象から除外する finding(triage.md の除外対象セクションも参照):
<!-- ipa-triage:begin ... ipa-triage:end --> ブロックで status: 問題なし または status: 保留 が設定されているもの(ユーザーがトリアージ済み)## 偽陽性候補 セクションに分類されているもの(false-positive-review が偽陽性の疑いありと判定)status: 未対応 と status: 対応する の finding のみ各件について以下を判断する:
triage.md(ステップ1で読済み)の基準で対応不要候補を特定する。
候補が見つかった場合は必ずユーザーに提示して最終判断を求める。スキル単独で確定しない。
ユーザーが対応不要と確定した項目については ipa-skip コメント追加の依頼を生成する。
priority.md(ステップ1で読済み)の基準でグループ化と優先順位を決める。
output_formatter.md(ステップ1で読済み)のフォーマットに従って結果を出力する。
-o オプションが指定されている場合は、出力内容を指定パスに Write する。
省略されている場合は画面に出力するのみ。