claude-skills/

Anthropic公式スキル・プラグインの日本語ディレクトリ

last sync 22h ago
スキルOfficialsecurity

🔒42crunch-audit

説明

42Crunch APIセキュリティ監査を実行し、OpenAPI仕様ファイル内のSQGブロッキング問題を修正します。 次のような場合に使用: ユーザーがOASファイルのセキュリティ問題を監査したい場合、SQGブロッキング問題を修正したい場合、APIのスコアリングを行いたい場合、データディクショナリによるエンリッチメントを適用したい場合、または監査結果の修正対応を行いたい場合。 「run audit」「audit only」「fix audit issues」「SQG audit」「42crunch audit」「audit score」などのフレーズ、あるいはライブスキャンを実行せずに静的なOAS解析と修正対応に特化したリクエストによってトリガーされます。

原文を表示

Run a 42Crunch API Security Audit and fix SQG-blocking issues in an OpenAPI Specification file. Use this skill whenever the user wants to audit an OAS file for security issues, fix SQG-blocking issues, score an API, apply data dictionary enrichment, or remediate audit findings. Triggers on phrases like "run audit", "audit only", "fix audit issues", "SQG audit", "42crunch audit", "audit score", or any request focused on static OAS analysis and remediation without running a live scan.

ユースケース

  • OASファイルのセキュリティ問題を監査したい
  • SQGブロッキング問題を修正したい
  • APIのスコアリングを行いたい
  • データディクショナリでエンリッチメントを適用したい
  • 監査結果の修正対応を行いたい

本文(日本語訳)

42Crunch Audit スキル

単一フェーズ(Audit)を実行します:静的OAS解析、SQGレポート生成、およびSQGブロッキング問題の修正ループ。 実行前にユーザーの明示的な許可が必要です。 ライブスキャンは実行しません — ライブスキャンには 42crunch-scan スキルを使用してください。


エントリーポイント

  1. 事前チェック。
    ../../references/pre-flight.md を読み、すべての手順(セットアップ、OAS解決、タグ検出)を完了してください。
    OASファイルの選択をユーザーに促す際は、コンテキストとして "audit" を使用します(例:「どのファイルをAuditしますか?」)。
    いずれかの手順が失敗した場合、またはユーザーがキャンセルした場合は、処理を進めないでください。

  2. 許可を求める。
    AskUserQuestion を呼び出します:

    • question: "<ファイル名> に対して 42Crunch Audit を実行する準備ができました。OASファイルを解析してスコア付きレポートを生成します。続行しますか?"
    • options: ["Yes, proceed", "No, cancel"]
  3. Auditを実行する。
    モードは事前チェックで既に確定しています — 再導出しないでください。
    ../../references/audit-workflow.md を読み、特定されたモードに対応するコマンドのみを一貫して適用してください。
    ワークフローはAuditを実行した後、開発者が読みやすい、リスク分類されたレポート(SQGブロッキング / セキュリティ / データバリデーションの各ティア)を提示します。タイトルとリスクの説明は平易な言葉で記述され、生のルールIDは表示されません。
    その後、修正を適用する前にユーザーの同意を求めて一時停止します。修正は明示的な確認後にのみ適用されます。

  4. 最終的なAuditサマリーを提示します(以下の出力フォーマットを参照)。

  5. 結果に基づいて次のステップを推奨します:

    SQG PASSEDの場合:

    「Auditが完了し、SQGはPassingです。自然な次のステップとして、実際に稼働しているAPIインスタンスに対してコンフォーマンスおよび認可をテストするライブスキャンの実行をお勧めします。APIサーバーが利用可能になったら、run scan と入力してください。」

    SQG FAILED(ユーザーが修正を拒否した)場合:

    「Auditの検出結果は上記に保存されています。SQGブロッキングの問題に対処する準備ができたら、このファイルに対して 42crunch-audit を再度実行してください。修正を適用します。Auditがpassすれば、42crunch-scan でライブAPIのテストを実行できます。」

    問題が見つからなかった場合:

    「問題は検出されませんでした — APIはクリーンなAudit結果です。42crunch-scan を実行して、ライブAPIがそのコントラクトと一致していることを確認してください。」

各許可プロンプトでユーザーの明示的な確認を得た後にのみ、次の処理へ進んでください。


出力フォーマット

Audit完了後、以下の形式でサマリーを出力してください:

Audit Complete
  Score:          <スコア> / 100  (Security: <セキュリティスコア> · Data Validation: <データスコア>)
  Score change:   <初期スコア> → <スコア>  (<差分>)  |  Data: <初期データ> → <データスコア>  (<データ差分>)   ← 修正が適用されていない場合は省略
  SQG:            PASSED  (<SQG名> — 組織のセキュリティ品質ゲートを満たしています)    ← プラットフォームモード、passed
  SQG:            FAILED  (<SQG名> — 品質ゲートを満たしていません。上記の修正が必要です)    ← プラットフォームモード、failed
  SQG:            N/A  (Free Trial — 自動ゲートなし。このセッションではユーザー定義のしきい値を適用)    ← フリートライアルモード
  Mode:           Platform / Free Trial
  Tag:            <カテゴリー>:<タグ名>             ← プラットフォームモードのみ、タグが割り当てられている場合。タグがない場合はこの行を省略
  Issues fixed:   2 SQG-blocking  (0 security · 2 data validation)
  OAS updated:    <path/to/openapi.json>

現在のモードと結果に一致するSQGの行を1行だけ表示してください。

Score change: の行は、../../references/audit-workflow.md のステップ4で算出された差分値から生成します。
修正が適用されなかった場合(ユーザーが同意ゲートで拒否した場合、またはSQGブロッキングの問題がなかった場合)は省略します。

ユーザーが修正の適用を拒否した場合は、その旨を記載してください。

原文(English)を表示

42Crunch Audit Skill

Runs a single phase: Audit (static OAS analysis, SQG reporting, and SQG-blocking fix loop). Requires explicit user permission before execution. Does not run a live scan — use the 42crunch-scan skill for that.


Entry Point

  1. Pre-flight checks. Read ../../references/pre-flight.md and complete all steps (setup, OAS resolution, tag detection). When prompting for OAS file selection, use the context "audit" (e.g. "Which one should I audit?"). Do not proceed if any step fails or the user cancels.

  2. Ask for permission. Call AskUserQuestion:

    • question: "Ready to run a 42Crunch Audit on <filename>. This will analyse your OAS file and produce a scored report. Shall I proceed?"
    • options: ["Yes, proceed", "No, cancel"]
  3. Execute the Audit. Mode is already resolved from pre-flight — do not re-derive it. Read ../../references/audit-workflow.md and apply only the commands for the identified mode throughout. The workflow runs the audit, then presents a developer-readable, risk-classified report (SQG-Blocking / Security / Data Validation tiers) with plain-English titles and risk descriptions — no raw rule IDs. It then pauses and asks the user to consent before applying any fixes. Fixes are only applied after explicit confirmation.

  4. Present the final audit summary (see Output Format below).

  5. Recommend next steps based on the outcome:

    If SQG PASSED:

    "Your audit is complete and the SQG is passing. The natural next step is to run a live scan to test conformance and authorization against a running instance of your API. Just say run scan when your API server is available."

    If SQG FAILED (user declined to fix):

    "Your audit findings are saved above. When you're ready to address the SQG-blocking issues, run 42crunch-audit again on this file and I'll apply the fixes. Once the audit passes, run 42crunch-scan to test the live API."

    If no issues found:

    "No issues found — your API has a clean audit result. Run 42crunch-scan to verify the live API matches its contract."

Only continue after explicit user confirmation at each permission prompt.


Output Format

After the audit completes, produce a summary in this shape:

Audit Complete
  Score:          <score> / 100  (Security: <sec-score> · Data Validation: <data-score>)
  Score change:   <initial-score> → <score>  (<delta>)  |  Data: <initial-data> → <data-score>  (<data-delta>)   ← omit if no fixes applied
  SQG:            PASSED  (<sqg-name> — your org's security quality gate is met)    ← platform mode, passed
  SQG:            FAILED  (<sqg-name> — the quality gate is not met; fixes above are required)    ← platform mode, failed
  SQG:            N/A  (Free Trial — no automated gate; user-defined thresholds applied this session)    ← free trial mode
  Mode:           Platform / Free Trial
  Tag:            <category>:<tagname>             ← platform mode only, when a tag is assigned; omit this row if no tag
  Issues fixed:   2 SQG-blocking  (0 security · 2 data validation)
  OAS updated:    <path/to/openapi.json>

Show only the one SQG line that matches the current mode and result.

The Score change: row is produced from the delta values computed in Step 4 of ../../references/audit-workflow.md. Omit it when no fixes were applied (user declined at the consent gate, or there were no SQG-blocking issues).

If the user declined to apply fixes, note that instead.

原文・著作権は Anthropic および各プラグイン作者に帰属します。日本語訳は Claude API による自動翻訳です。