一键导入
repo-security-auditor
GitHubリポジトリやパッケージ導入前の総合セキュリティ評価ガイド。多層防御フレームワークに基づき、開発者の信頼性、コードの悪意あるパターン(Semgrepロジック)、インフラ権限、サプライチェーン成熟度を定量的・定性的に監査します。
用 Codex 或 Claude 帮你安装 复制这段 Prompt,粘贴到 Codex、Claude 或其他助手里,让它检查 Skill 页面并帮你完成安装。
菜单
GitHubリポジトリやパッケージ導入前の総合セキュリティ評価ガイド。多層防御フレームワークに基づき、開発者の信頼性、コードの悪意あるパターン(Semgrepロジック)、インフラ権限、サプライチェーン成熟度を定量的・定性的に監査します。
用 Codex 或 Claude 帮你安装 复制这段 Prompt,粘贴到 Codex、Claude 或其他助手里,让它检查 Skill 页面并帮你完成安装。
基于 SOC 职业分类
| name | repo-security-auditor |
| description | GitHubリポジトリやパッケージ導入前の総合セキュリティ評価ガイド。多層防御フレームワークに基づき、開発者の信頼性、コードの悪意あるパターン(Semgrepロジック)、インフラ権限、サプライチェーン成熟度を定量的・定性的に監査します。 |
GitHubリポジトリやnpm/PyPIパッケージ、Agent Skillをプロジェクトに導入する前に、その安全性と信頼性を包括的に監査し、「攻撃者の意図」を見抜くための専門スキルです。 本チェックリストは、単純な脆弱性スキャンを超え、多層防御(Defense in Depth)の観点から厳格なリスク評価を行います。
以下のカテゴリ(A〜E)について検証を行い、レポートを作成してください。
開発者とプロジェクトの社会的信頼性を評価し、偽装や即席のアカウントを排除します。
ソースコード解析を行い、悪意ある「意図」と「挙動」を特定します。Semgrep等のSASTツールのロジックを応用してチェックします。
eval(atob(...)) や new Function(...) など、難読化解除と動的実行を組み合わせたパターンがないか。process.env をシリアライズして外部送信するようなコードがないか。obfuscator.io 等の特徴的な難読化パターンが含まれていないか。exec(...) や eval(...) の使用がないか。preinstall, postinstall 等で curl, wget による外部通信や、環境変数(/etc/shadow 等)へのアクセス試行がないか。--ignore-scripts を使用することを推奨文に含めてください。CI/CD環境(GitHub Actions)の堅牢性を評価し、パイプライン攻撃を防ぎます。
pull_request_target トリガーを使用している場合、チェックアウトされたコードに対して危険な操作(ビルド、テスト実行など)が行われていないか厳重に確認してください。permissions ブロックで contents: read など、必要最小限の権限が明示されているか確認してください(Default Deny の原則)。プロジェクトの構成管理とガバナンス体制を評価します。
package-lock.json, yarn.lock, poetry.lock 等が含まれており、依存関係が固定されているか確認してください。CRITICAL または HIGH リスクの可能性があるコード、あるいは信頼性が完全に確立されていないコードを実行/テストする必要がある場合、以下の環境での実行を強く推奨します。
CRITICAL (即時遮断 - 導入禁止)
/etc/shadowへのアクセス等)が実行されている。HIGH (詳細レビュー必須 / 原則禁止)
pull_request_target の不適切な使用によるインジェクションリスク。MEDIUM (要注意 - 条件付き導入)
LOW (導入可)
# セキュリティ監査レポート: [リポジトリ名/パッケージ名]
## 判定: [CRITICAL / HIGH / MEDIUM / LOW]
## サマリー
(判定理由の要約)
## 多層防御チェック結果
### A. 信頼性 (Reputation)
- [ ] アカウント成熟度 (>48h): ...
- [ ] Commits/Stars整合性: ...
### B. コード健全性 (behavioral Analysis)
- [ ] Dynamic Execution (eval/exec): ...
- [ ] Obfuscation (atob/hex): ...
- [ ] Install Scripts: ...
### C. インフラ (CI/CD)
- [ ] Action Injection (pr_target): ...
- [ ] SHA Pinning: ...
### D. サプライチェーン (Integrity)
- [ ] Lockfiles: ...
- [ ] OSSF Scorecard (Target: 7.0+): ...
## 推奨アクション & ポリシー適用
(導入可否、--ignore-scriptsの使用推奨、隔離環境の利用など)