Agent skill
dependency-security-scanning
依存関係の脆弱性スキャン、CVE評価、レポート作成を体系化するスキル。 SCAの運用と修正計画の整理を支援する。 Anchors: • OWASP Dependency-Check / 適用: 依存スキャン / 目的: 検出の標準化 • CVSS v3.1 Specification / 適用: 重大度評価 / 目的: 優先度の整合性 • Web Application Security / 適用: 脅威評価 / 目的: リスク判定の一貫性 Trigger: Use when scanning dependencies for vulnerabilities, evaluating CVE reports, producing audit reports, or planning remediation. dependency scan, CVE, CVSS, SCA, supply chain security, audit report
Install this agent skill to your Project
npx add-skill https://github.com/majiayu000/claude-skill-registry/tree/main/skills/testing/dependency-security-scanning
SKILL.md
dependency-security-scanning
概要
依存関係の脆弱性スキャンから評価・レポート・修正計画までを一貫して支援する。
ワークフロー
Phase 1: 要件整理
目的: 監査範囲とスキャン条件を整理する。
アクション:
references/Level1_basics.mdで基本概念を確認する。assets/scan-requirements-template.mdで要件を整理する。references/requirements-index.mdで要件整合を確認する。
Task: agents/analyze-scan-requirements.md を参照
Phase 2: スキャン実行
目的: 依存関係の脆弱性を検出する。
アクション:
scripts/run-dependency-scan.mjsを実行する。references/Level2_intermediate.mdでツールの使い分けを確認する。- 検出結果を整理する。
Task: agents/scan-executor.md を参照
Phase 3: CVE評価
目的: 検出結果を評価し、優先度を付ける。
アクション:
references/cve-evaluation-guide.mdで評価基準を確認する。- 影響範囲と優先度を記録する。
references/Level3_advanced.mdを参照する。
Task: agents/cve-evaluator.md を参照
Phase 4: レポートと修正計画
目的: 監査レポートと修正計画を作成する。
アクション:
assets/dependency-audit-report-template.mdでレポートを作成する。assets/remediation-plan-template.mdで修正計画を整理する。scripts/log_usage.mjsで記録を更新する。
Task: agents/report-generator.md と agents/remediation-planner.md を参照
Task仕様ナビ
| Task | 起動タイミング | 入力 | 出力 |
|---|---|---|---|
| analyze-scan-requirements | Phase 1開始時 | 監査範囲 | 要件メモ、制約一覧 |
| scan-executor | Phase 2開始時 | リポジトリ情報 | スキャン結果 |
| cve-evaluator | Phase 3開始時 | スキャン結果 | 優先度付き評価 |
| report-generator | Phase 4開始時 | 評価結果 | 監査レポート |
| remediation-planner | Phase 4開始時 | 評価結果 | 修正計画 |
詳細仕様: 各Taskの詳細は agents/ ディレクトリを参照
ベストプラクティス
すべきこと
| 推奨事項 | 理由 |
|---|---|
| 監査範囲を明示する | 漏れを防止できる |
| CVSS評価を記録する | 優先度が明確になる |
| レポートを共有する | 説明責任を果たせる |
| 修正計画を明文化する | 実行が容易になる |
避けるべきこと
| 禁止事項 | 問題点 |
|---|---|
| 結果を放置する | リスクが残る |
| 優先度なしで修正 | 効果が薄い |
| 根拠を記録しない | 追跡が困難 |
| 自動化を省略する | 継続監査が難しい |
リソース参照
scripts/(決定論的処理)
| スクリプト | 機能 |
|---|---|
scripts/run-dependency-scan.mjs |
依存関係スキャン |
scripts/validate-skill.mjs |
スキル構造検証 |
scripts/log_usage.mjs |
使用記録と評価メトリクス更新 |
references/(詳細知識)
| リソース | パス | 読込条件 |
|---|---|---|
| レベル1 基礎 | references/Level1_basics.md | 要件整理時 |
| レベル2 実務 | references/Level2_intermediate.md | スキャン時 |
| レベル3 応用 | references/Level3_advanced.md | 評価時 |
| レベル4 専門 | references/Level4_expert.md | 運用時 |
| CVE評価 | references/cve-evaluation-guide.md | 評価時 |
| 要求仕様索引 | references/requirements-index.md | 仕様確認時 |
| 旧スキル | references/legacy-skill.md | 互換確認時 |
assets/(テンプレート・素材)
| アセット | 用途 |
|---|---|
assets/dependency-audit-report-template.md |
監査レポート |
assets/scan-requirements-template.md |
要件整理テンプレート |
assets/remediation-plan-template.md |
修正計画テンプレート |
運用ファイル
| ファイル | 目的 |
|---|---|
EVALS.json |
レベル評価・メトリクス管理 |
LOGS.md |
実行ログの蓄積 |
CHANGELOG.md |
改善履歴の記録 |
Didn't find tool you were looking for?