원클릭으로
repo-security-auditor
GitHubリポジトリやパッケージ導入前の総合セキュリティ評価ガイド。多層防御フレームワークに基づき、開発者の信頼性、コードの悪意あるパターン(Semgrepロジック)、インフラ権限、サプライチェーン成熟度を定量的・定性的に監査します。
Codex 또는 Claude로 설치 이 Prompt를 복사해 Codex, Claude 또는 다른 어시스턴트에 붙여 넣으면 Skill 페이지를 검토하고 설치를 진행할 수 있습니다.
메뉴
GitHubリポジトリやパッケージ導入前の総合セキュリティ評価ガイド。多層防御フレームワークに基づき、開発者の信頼性、コードの悪意あるパターン(Semgrepロジック)、インフラ権限、サプライチェーン成熟度を定量的・定性的に監査します。
Codex 또는 Claude로 설치 이 Prompt를 복사해 Codex, Claude 또는 다른 어시스턴트에 붙여 넣으면 Skill 페이지를 검토하고 설치를 진행할 수 있습니다.
SOC 직업 분류 기준
| name | repo-security-auditor |
| description | GitHubリポジトリやパッケージ導入前の総合セキュリティ評価ガイド。多層防御フレームワークに基づき、開発者の信頼性、コードの悪意あるパターン(Semgrepロジック)、インフラ権限、サプライチェーン成熟度を定量的・定性的に監査します。 |
GitHubリポジトリやnpm/PyPIパッケージ、Agent Skillをプロジェクトに導入する前に、その安全性と信頼性を包括的に監査し、「攻撃者の意図」を見抜くための専門スキルです。 本チェックリストは、単純な脆弱性スキャンを超え、多層防御(Defense in Depth)の観点から厳格なリスク評価を行います。
以下のカテゴリ(A〜E)について検証を行い、レポートを作成してください。
開発者とプロジェクトの社会的信頼性を評価し、偽装や即席のアカウントを排除します。
ソースコード解析を行い、悪意ある「意図」と「挙動」を特定します。Semgrep等のSASTツールのロジックを応用してチェックします。
eval(atob(...)) や new Function(...) など、難読化解除と動的実行を組み合わせたパターンがないか。process.env をシリアライズして外部送信するようなコードがないか。obfuscator.io 等の特徴的な難読化パターンが含まれていないか。exec(...) や eval(...) の使用がないか。preinstall, postinstall 等で curl, wget による外部通信や、環境変数(/etc/shadow 等)へのアクセス試行がないか。--ignore-scripts を使用することを推奨文に含めてください。CI/CD環境(GitHub Actions)の堅牢性を評価し、パイプライン攻撃を防ぎます。
pull_request_target トリガーを使用している場合、チェックアウトされたコードに対して危険な操作(ビルド、テスト実行など)が行われていないか厳重に確認してください。permissions ブロックで contents: read など、必要最小限の権限が明示されているか確認してください(Default Deny の原則)。プロジェクトの構成管理とガバナンス体制を評価します。
package-lock.json, yarn.lock, poetry.lock 等が含まれており、依存関係が固定されているか確認してください。CRITICAL または HIGH リスクの可能性があるコード、あるいは信頼性が完全に確立されていないコードを実行/テストする必要がある場合、以下の環境での実行を強く推奨します。
CRITICAL (即時遮断 - 導入禁止)
/etc/shadowへのアクセス等)が実行されている。HIGH (詳細レビュー必須 / 原則禁止)
pull_request_target の不適切な使用によるインジェクションリスク。MEDIUM (要注意 - 条件付き導入)
LOW (導入可)
# セキュリティ監査レポート: [リポジトリ名/パッケージ名]
## 判定: [CRITICAL / HIGH / MEDIUM / LOW]
## サマリー
(判定理由の要約)
## 多層防御チェック結果
### A. 信頼性 (Reputation)
- [ ] アカウント成熟度 (>48h): ...
- [ ] Commits/Stars整合性: ...
### B. コード健全性 (behavioral Analysis)
- [ ] Dynamic Execution (eval/exec): ...
- [ ] Obfuscation (atob/hex): ...
- [ ] Install Scripts: ...
### C. インフラ (CI/CD)
- [ ] Action Injection (pr_target): ...
- [ ] SHA Pinning: ...
### D. サプライチェーン (Integrity)
- [ ] Lockfiles: ...
- [ ] OSSF Scorecard (Target: 7.0+): ...
## 推奨アクション & ポリシー適用
(導入可否、--ignore-scriptsの使用推奨、隔離環境の利用など)