원클릭으로
sec-diff-review
PR・ブランチの変更差分(git diff)を静的解析してセキュリティ脆弱性を検出する。開発中・PRレビュー時に使用。手動呼び出し専用: /sec-diff-review
Codex 또는 Claude로 설치 이 Prompt를 복사해 Codex, Claude 또는 다른 어시스턴트에 붙여 넣으면 Skill 페이지를 검토하고 설치를 진행할 수 있습니다.
메뉴
PR・ブランチの変更差分(git diff)を静的解析してセキュリティ脆弱性を検出する。開発中・PRレビュー時に使用。手動呼び出し専用: /sec-diff-review
Codex 또는 Claude로 설치 이 Prompt를 복사해 Codex, Claude 또는 다른 어시스턴트에 붙여 넣으면 Skill 페이지를 검토하고 설치를 진행할 수 있습니다.
SOC 직업 분류 기준
cc-sdd実装用統合ブランチのコミット群(ベースブランチとの差分)をreview slice単位のstacked PRに再構成する際に使用。「review sliceに分割」「stacked PRを作成」「PRをスタックして」「レビュー用にPRを分けて」「review slice stack」という依頼でトリガーする。dry-run(既定)でslice計画を提示し、apply指示で実際にブランチ・PRを作成する。
stacked PRの下位PRがマージされた後に上位branchをrestack(rebase/cherry-pick再構成)する際に使用。「restackして」「上位PRを更新して」「restack after merge」「PRのbaseを更新」「スタックを整理」という依頼でトリガーする。対象sliceの特定→rebase→変更ファイル確認と代表テスト実行→force-with-leaseでpush→PR base更新→auto-merge判定の順で進める。
リリース前の全ファイル静的解析スキル。プロジェクト構造を自動検出し、ソースモジュールごとのサブエージェントと依存関係スキャンを並列実行してコードベース全体の脆弱性を検出する。手動呼び出し専用: /sec-full-scan
ステージング環境にデプロイ済みのサーバーに対してランタイム検証を実行する。HTTPヘッダー・動的プローブ・認証テストに特化。手動呼び出し専用: /sec-runtime-scan [環境名]
PRの未Resolveレビュー指摘に対応するスキル。「PRの指摘に対応して」「Resolveされていないスレッドを解消」「PR reviewの対応」「未解決のレビューコメントを修正」「Copilotの指摘を直して」「Codexの指摘に対応」「chatgpt-codex-connectorの指摘」「レビュー対応」で起動。PR URL or 番号 → 未Resolveスレッド取得 → 対象ファイル修正 → ユーザーへ最終ゲートとプッシュの実行手順を案内、の流れで進める。
タスク完了後にPCを休止状態にする。Use when: ユーザーが「休止」「hibernate」「タスク完了後に休止状態」「作業後にPCをスリープ/休止」と明示的に指示した場合のみ。正常終了時だけでなく、エラーや未解決事項が残っていても、明示指示があれば最後に休止へ移行する。Windows only.
| name | sec-diff-review |
| description | PR・ブランチの変更差分(git diff)を静的解析してセキュリティ脆弱性を検出する。開発中・PRレビュー時に使用。手動呼び出し専用: /sec-diff-review |
| license | MIT (see LICENSE.txt) |
| disable-model-invocation | true |
役割: 差分ベース静的解析スキル(PR単位・開発中に使用)
このスキルは git diff で変更されたファイルのみを対象とする。
全ファイルの静的解析は /sec-full-scan が担当する。
スコープの誠実な開示: このスキルは変更差分のみを検査するため、既存コードに潜む脆弱性は検出しない。全ファイルを対象にしたい場合は
/sec-full-scanを使用すること。
| 引数 | 必須 | 説明 |
|---|---|---|
コメント | 任意 | レビューの文脈や注目してほしい点 |
git symbolic-ref refs/remotes/origin/HEAD で検出する。失敗した場合は main → master → develop の順にフォールバックする。確定後 git diff {default}...HEAD で変更ファイル一覧と差分を取得する変更ファイルを分析する前に、既存の安全なパターンを把握する:
変更されたコードを既存の安全なパターンと比較する:
各変更ファイルについて、以下カテゴリで脆弱性を検査する。
検出対象(>80% の信頼度があるもののみ報告):
dangerouslySetInnerHTML / bypassSecurityTrustHtml 等の危険なメソッドのみ除外ルール(報告しない):
dangerouslySetInnerHTML 不使用の場合)/sec-full-scan が担当)信頼度 8 以上の発見のみ報告する。各発見について確認する:
日付付きファイル名でレポートを保存する
./security-reports/YYYY-MM-DD-security-review.md2026-05-01)./security-reports/index.md に1行追記する
| YYYY-MM-DD | sec-diff-review | <ブランチ名> | <変更ファイル数>ファイル | 0 | <High件数> | <Medium件数> | <CI結果> | [レポート](YYYY-MM-DD-security-review.md) |
✅ pass、1件以上なら ❌ fail# セキュリティレビュー結果
**スコープ**: <変更ファイル数> ファイルの差分のみ(全ファイル解析は /sec-full-scan を使用)
**対象ブランチ**: <ブランチ名>
## Vuln N: <脆弱性種別>: `<ファイルパス>:<行番号>`
* Severity: High / Medium
* Confidence: <0.8〜1.0>
* Description: <具体的な問題の説明>
* Exploit Scenario: <攻撃シナリオ>
* Recommendation: <修正方法>
深刻度基準:
| 領域 | 推奨手段 |
|---|---|
| 変更差分以外の既存コードの脆弱性 | /sec-full-scan |
| 依存関係の既知 CVE | /sec-full-scan |
| デプロイ後のランタイム挙動 | /sec-runtime-scan |
| ビジネスロジックの欠陥(仕様知識が必要) | ペネトレーションテスト |
| インフラ・クラウド設定 | インフラ担当者レビュー |
./security-reports/YYYY-MM-DD-security-review.md が保存されている./security-reports/index.md に1行追記されている